CVE-2022-2840

Zephyr Project Manager < 3.2.5 - Multiple Unauthenticated SQLi

EPSS 9.6%CWE-89

Vexday Risk Score

23Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 9.6%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

19 set 2022Publicada no NVD

06 out 2022PoC pública

Recomendação: Planejar correção próxima — já existe PoC pública.

The Zephyr Project Manager WordPress plugin before 3.2.5 does not sanitise and escape various parameters before using them in SQL statements via various AJAX actions available to both unauthenticated and authenticated users, leading to SQL injections

Produtos afetados

Unknown · Zephyr Project Manager

PoCs públicas encontradas — 2

cve_referencepacketstormsecurity.com/files/168652/WordPress-Zephyr-Project-Manager-3.2.42-SQL-Injection.htmlnão verificado exploitdbwww.exploit-db.com/exploits/51024não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/168652/WordPress-Zephyr-Project-Manager-3.2.42-SQL-Injection.html https://wpscan.com/vulnerability/13d8be88-c3b7-4d6e-9792-c98b801ba53c