CVE-2022-0952

Sitemap by click5 < 1.0.36 - Unauthenticated Arbitrary Options Update

EPSS 13.3%

Vexday Risk Score

23Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 13.3%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

02 mai 2022Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The Sitemap by click5 WordPress plugin before 1.0.36 does not have authorisation and CSRF checks when updating options via a REST endpoint, and does not ensure that the option to be updated belongs to the plugin. As a result, unauthenticated attackers could change arbitrary blog options, such as the users_can_register and default_role, allowing them to create a new admin account and take over the blog.

Produtos afetados

Unknown · Sitemap by click5

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wpscan.com/vulnerability/0f694961-afab-44f9-846c-e80a0f6c768b