CVE-2022-3891

Exploit

EPSS 0.66%
Veröffentlicht 13.02.2023 15:15:14
Zuletzt bearbeitet 21.03.2025 15:15:37
Quelle contact@wpscan.com
CVE-Watchlists
Login
Unerledigt
Login

WP FullCalendar <= 1.4.1 - Missing Authorization to Information Disclosure

The WP FullCalendar WordPress plugin before 1.5 does not ensure that the post retrieved via an AJAX action is public and can be accessed by the user making the request, allowing unauthenticated attackers to get the content of arbitrary posts, including draft/private as well as password-protected ones.

Mögliche Gegenmaßnahme

WP FullCalendar: Update to version 1.5, or a newer patched version

Betroffene Produkte Warnungen 0 Metriken 3 CWE 0 Referenzen 5

Weitere Schwachstelleninformationen

SystemWordPress Plugin

≫

Produkt WP FullCalendar

Version *-1.4.1

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Pixelite ≫ Wp Fullcalendar SwPlatformwordpress Version < 1.5

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.66%	0.707

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	5.3	3.9	1.4	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
134c704f-9b21-4f2e-91b3-4a467353bcc0	5.3	3.9	1.4	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Es wurden noch keine Informationen zu CWE veröffentlicht.

https://wpscan.com/vulnerability/5a69965d-d243-4d51-b7a4-d6f4b199abf1

Third Party Advisory

Exploit

https://www.wordfence.com/threat-intel/vulnerabilities/id/27d25885-1a85-40a0-9759-3ae0c8d73d11

Third Party Advisory

https://nvd.nist.gov/vuln/detail/CVE-2022-3891

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2022-3891

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2022-3891

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2022-3891