CVE-2021-24946

Modern Events Calendar < 6.1.5 - Unauthenticated Blind SQL Injection

EPSS 73.4%CWE-89

The Modern Events Calendar Lite WordPress plugin before 6.1.5 does not sanitise and escape the time parameter before using it in a SQL statement in the mec_load_single_page AJAX action, available to unauthenticated users, leading to an unauthenticated SQL injection issue

Produtos afetados

Unknown · Modern Events Calendar Lite

PoCs públicas encontradas — 2

exploitdbwww.exploit-db.com/exploits/50687não verificado cve_referencepacketstormsecurity.com/files/165742/WordPress-Modern-Events-Calendar-6.1-SQL-Injection.htmlnão verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/165742/WordPress-Modern-Events-Calendar-6.1-SQL-Injection.html https://github.com/Hacker5preme/Exploits/tree/main/Wordpress/CVE-2021-24946 https://wpscan.com/vulnerability/09871847-1d6a-4dfe-8a8c-f2f53ff87445