CVE-2022-0707

Easy Digital Downloads < 2.11.6 - Arbitrary Payment Note Insertion via CSRF

EPSS 0.5%CWE-352

Vexday Risk Score

3Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS —EPSS 0.5%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

18 abr 2022Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

The Easy Digital Downloads WordPress plugin before 2.11.6 does not have CSRF check in place when inserting payment notes, which could allow attackers to make a logged admin insert arbitrary notes via a CSRF attack

Productos afectados

Unknown · Easy Digital Downloads – Simple eCommerce for Selling Digital Files

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://plugins.trac.wordpress.org/changeset/2697388 https://wpscan.com/vulnerability/50680797-61e4-4737-898f-e5b394d89117