<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Phoenix Contact</title>
    <link>https://feed.xonatec.ch/produkte/phoenix-contact</link>
    <description>Priorisierte Schwachstellen-Reports für Phoenix Contact. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/phoenix-contact.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2026-49085 — WP Insightly: Nicht authentifizierte PHP Object Injection (&lt;= 1.1.4)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49085</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49085</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms enthält in den Versionen bis einschliesslich 1.1.4 eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49104 — Integration for Keap/Infusionsoft und Formular-Plugins: Unauthentifizierte PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49104</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49104</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Erweiterung Integration for Keap/Infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.2.1. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.2.1 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49105 — WP Zendesk für Contact Form 7, WPForms, Elementor, Formidable und Ninja Forms: PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49105</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49105</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms erlaubt in Versionen bis einschliesslich 1.1.4 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-9691 — Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms: unauthentifizierte PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9691</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9691</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Erweiterung „Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.1 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49109 — Integration for Salesforce and Contact Form 7: Unauthentifizierte PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49109</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49109</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms erlaubt eine PHP Object Injection ohne vorherige Authentifizierung. Betroffen sind laut Quelle alle Versionen bis einschliesslich 1.4.3. CVSS-Basiswert: 9.8 (Kritisch). Die Ausnutzung ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: php, salesforce, tableau-salesforce, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Salesforce</category><category>Tableau (Salesforce)</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49106 — Integration for Contact Form 7 and Constant Contact: unauthentifizierte PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49106</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49106</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In „Integration for Contact Form 7 and Constant Contact“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.6. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.6 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49763 — Integration for Contact Form 7 HubSpot: Nicht authentifizierte PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49763</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49763</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Plugin Integration for Contact Form 7 HubSpot bis einschliesslich Version 1.3.7 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49765 — Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis 1.1.8: unauthentifizierte PHP Object Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49765</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49765</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Erweiterung Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis einschliesslich Version 1.1.8 besteht laut NVD eine PHP Object Injection. Sie ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: PHP, Phoenix Contact. Empfohlene Massnahme: auf eine Version neuer als 1.1.8 aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: php, phoenix-contact</description>
      <category>Kritisch</category><category>PHP</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-49454 — Relyra (SAML 2.0 Service Provider für Elixir/Phoenix): Akzeptanz gefälschter SAML-Signaturen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49454</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49454</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Relyra ist eine strikt-per-Default konfigurierte SAML-2.0-Service-Provider-Bibliothek für Elixir und Phoenix. In den Versionen 1.0.0 und 1.1.0 werden gefälschte SAML-Signaturen akzeptiert, weil der SignatureValue nicht kryptografisch verifiziert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.1%

Betroffene Produkte: phoenix-ami-uefi, phoenix-contact</description>
      <category>Kritisch</category><category>Phoenix/AMI (UEFI)</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-56812 — Phoenix (Presence JavaScript Client) – unzureichende Prüfung ungewöhnlicher Bedingungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56812</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56812</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle durch unzureichende Prüfung ungewöhnlicher oder Ausnahmebedingungen im Presence-JavaScript-Client des phoenixframework (phoenix) erlaubt es einem Angreifer mit gewöhnlichem Channel-Zugriff, einen persistenten Zustand auf Client-Seite herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: phoenix-ami-uefi, phoenix-contact</description>
      <category>Hoch</category><category>Phoenix/AMI (UEFI)</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-56811 — Phoenix (Phoenix.Socket): Denial of Service durch unbegrenzte Ressourcenzuweisung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56811</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56811</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle durch Ressourcenzuweisung ohne Limit oder Drosselung im Phoenix.Socket-Modul des phoenixframework/phoenix erlaubt einem nicht authentifizierten Angreifer, einen Denial of Service gegen einen beliebigen Endpunkt auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Hersteller-Advisory aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: phoenix-ami-uefi, phoenix-contact</description>
      <category>Hoch</category><category>Phoenix/AMI (UEFI)</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-8901 — WordPress-Plugin Integration for Freshsales – Stored Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8901</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8901</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin „Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More“ ist über Formular-Übermittlungsdaten für Stored Cross-Site Scripting anfällig. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.2%

Betroffene Produkte: phoenix-contact, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Hoch</category><category>Phoenix Contact</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2019-25731 — Zuz Music 2.1: Persistentes Cross-Site-Scripting über Kontaktformular</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25731</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25731</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Zuz Music 2.1 enthält eine persistente Cross-Site-Scripting-Schwachstelle, die es nicht authentifizierten Angreifern erlaubt, durch präparierte Kontaktformular-Daten schädliches JavaScript einzuschleusen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.1%

Betroffene Produkte: phoenix-contact</description>
      <category>Hoch</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-11172 — Google Chrome (Android): UI-Spoofing über Contact Picker</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11172</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11172</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Sicherheits-UI im Contact Picker von Google Chrome unter Android vor Version 149.0.7827.53 erlaubt einem entfernten Angreifer UI-Spoofing über eine präparierte HTML-Seite (Chromium-Schweregrad: Medium). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 149.0.7827.53 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: phoenix-contact, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Phoenix Contact</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-2174 — Contact Management System 1.0 – Improper Input Validation in CRUD Endpoint</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2174</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2174</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Contact Management System 1.0 (code-projects) wurde eine Sicherheitslücke im CRUD-Endpoint entdeckt. Durch Manipulation des Arguments „ID” ist eine unsachgemässe Eingabeverarbeitung möglich. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.0%

Betroffene Produkte: phoenix-contact</description>
      <category>Hoch</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2019-25734 — Contact Form by WD: CSRF mit Local File Inclusion</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25734</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25734</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Contact Form by WD in Version 1.13.1 enthält eine Cross-Site-Request-Forgery-Schwachstelle in Kombination mit Local File Inclusion, die es nicht authentifizierten Angreifern erlaubt, durch Ausnutzung unzureichend bereinigter Eingaben beliebige Dateien einzubinden. CVSS-Basiswert: 4.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 4 · EPSS: 0.1%

Betroffene Produkte: phoenix-contact</description>
      <category>Mittel</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-7792 — WordPress WPForms: Unzureichende Prüfung der Datenauthentizität</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7792</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7792</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin WPForms – Easy Form Builder ist über eine unzureichende Prüfung der Datenauthentizität angreifbar. Betroffen sind Versionen bis einschliesslich der genannten Fassung. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Phoenix Contact. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.0%

Betroffene Produkte: wordpress-patchstack, wordpress-wordfence, wordpress-wpscan, phoenix-contact</description>
      <category>Mittel</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category><category>Phoenix Contact</category>
    </item>
    <item>
      <title>CVE-2026-8991 — CVE-2026-8991 – Stored XSS im Drag-and-Drop-Upload-Plugin (WordPress)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8991</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8991</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das WordPress-Plugin Drag and Drop Multiple File Upload for Contact Form 7 ist über die Einstellungen &apos;drag_n_drop_text&apos; und &apos;drag_n_drop_browse_text&apos; in allen betroffenen Versionen anfällig für Stored Cross-Site-Scripting. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 4.4 · EPSS: 0.0%

Betroffene Produkte: phoenix-contact, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Mittel</category><category>Phoenix Contact</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-0085 — Android – lokaler Denial of Service durch fehlende Eingabevalidierung (DataRowHandler)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0085</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0085</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion applySimpleFieldMaxSize von DataRowHandler.java ist es aufgrund fehlender Eingabevalidierung möglich, einen ungewöhnlich langen Kontaktnamen einzufügen. Dies kann zu einem lokalen Denial of Service führen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 5.5 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, phoenix-contact, google-chromeos-chrome, android-asb</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category><category>Phoenix Contact</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
  </channel>
</rss>
