CVE-2022-1756

Newsletter < 7.4.5 - Reflected Cross-Site Scripting

EPSS 1.8%CWE-79

Vexday Risk Score

18Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 1.8%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

13 jun 2022Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The Newsletter WordPress plugin before 7.4.5 does not sanitize and escape the $_SERVER['REQUEST_URI'] before echoing it back in admin pages. Although this uses addslashes, and most modern browsers automatically URLEncode requests, this is still vulnerable to Reflected XSS in older browsers such as Internet Explorer 9 or below.

Produtos afetados

Unknown · Newsletter – Send awesome emails from WordPress

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wpscan.com/vulnerability/6ad407fe-db2b-41fb-834b-dd8c4f62b072