CVE-2020-7356

Cayin xPost SQL Injection

CVSS 10 CRITICALEPSS 14.0%CWE-89

Vexday Risk Score

48Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 10EPSS 14.0%KEV nãoPoC —Nuclei —Metasploit simPatch —

Ciclo de vida

04 jun 2020Exploit Metasploit disponível

06 ago 2020Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

CAYIN xPost suffers from an unauthenticated SQL Injection vulnerability. Input passed via the GET parameter 'wayfinder_seqid' in wayfinder_meeting_input.jsp is not properly sanitized before being returned to the user or used in SQL queries. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code and execute SYSTEM commands.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

Produtos afetados

Cayin Technology · Cayin xPost

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/rapid7/metasploit-framework/pull/13607 https://www.zeroscience.mk/en/vulnerabilities/ZSL-2020-5571.php