CVE-2021-24946

Modern Events Calendar < 6.1.5 - Unauthenticated Blind SQL Injection

EPSS 73.4%CWE-89

Vexday Risk Score

60Atención

Decisión SSVC (CISA)

Attend

PoC disponible → seguir de cerca

CVSS —EPSS 73.4%KEV nãoPoC públicaNuclei simMetasploit simPatch —

Ciclo de vida

13 dic 2021Exploit Metasploit disponible

13 dic 2021Publicada en NVD

27 ene 2022PoC pública

Recomendación: Planificar corrección próxima — ya existe PoC pública.

The Modern Events Calendar Lite WordPress plugin before 6.1.5 does not sanitise and escape the time parameter before using it in a SQL statement in the mec_load_single_page AJAX action, available to unauthenticated users, leading to an unauthenticated SQL injection issue

Productos afectados

Unknown · Modern Events Calendar Lite

PoCs públicas encontradas — 2

exploitdbwww.exploit-db.com/exploits/50687no verificado cve_referencepacketstormsecurity.com/files/165742/WordPress-Modern-Events-Calendar-6.1-SQL-Injection.htmlno verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

http://packetstormsecurity.com/files/165742/WordPress-Modern-Events-Calendar-6.1-SQL-Injection.html https://github.com/Hacker5preme/Exploits/tree/main/Wordpress/CVE-2021-24946 https://wpscan.com/vulnerability/09871847-1d6a-4dfe-8a8c-f2f53ff87445