CVE-2022-3477

tagDiv Composer < 3.5 - Unauthenticated Account Takeover

CVSS 9.8 CRITICALEPSS 3.5%CWE-287

Vexday Risk Score

43Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 9.8EPSS 3.5%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

14 nov 2022Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The tagDiv Composer WordPress plugin before 3.5, required by the Newspaper WordPress theme before 12.1 and Newsmag WordPress theme before 5.2.2, does not properly implement the Facebook login feature, allowing unauthenticated attackers to login as any user by just knowing their email address

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

tagDiv · Newsmag tagDiv · Newspaper tagDiv · tagDiv Composer

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wpscan.com/vulnerability/993a95d2-6fce-48de-ae17-06ce2db829ef