WordPress Zephyr Project Manager Plugin 跨站请求伪造漏洞

漏洞类型：- MPS编号：MPS-2022-55547

发现时间：2022/10/3

CVE编号： CVE-2022-2839

漏洞影响广度：极小

CNVD编号：- 漏洞描述：

Zephyr Project Manager 是WordPress的一款项目管理插件。

Zephyr Project Manager 在3.2.55之前的版本中由于对AJAX操作中没有授权验证从而存在CSRF漏洞，允许未经身份验证的攻击者可通过此漏洞冒充管理员执行恶意操作。

由于对用户传入的数据没有进行有效的清理和转义，攻击者还可以利用此漏洞对登录的管理员执行存储的跨站点脚本攻击。

影响范围： Zephyr Project Manager@(-∞, 3.2.55)

修复方案： 升级Zephyr Project Manager到 3.2.55 或更高版本

参考链接：

https://www.oscs1024.com/hd/MPS-2022-55547

https://nvd.nist.gov/vuln/detail/CVE-2022-2839

https://wpscan.com/vulnerability/82e01f95-81c2-46d8-898e-07b3b8a3f8c9