CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 2CVE-2022-3848 – WP User Merger < 1.5.3 - Admin+ SQLi via wpsu_user_id
https://notcve.org/view.php?id=CVE-2022-3848
07 Nov 2022 — The WP User Merger WordPress plugin before 1.5.3 does not properly sanitise and escape a parameter before using it in a SQL statement, leading to a SQL injection exploitable by users with a role as low as admin El complemento WP User Merger de WordPress anterior a 1.5.3 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que lleva a una inyección de SQL explotable por usuarios con un rol tan bajo como administrador. The WP User Merger plugin for WordPress is vulnerabl... • https://bulletin.iese.de/post/wp-user-merger_1-5-1_2 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 2CVE-2022-3849 – WP User Merger < 1.5.3 - Admin+ SQLi via user_id
https://notcve.org/view.php?id=CVE-2022-3849
07 Nov 2022 — The WP User Merger WordPress plugin before 1.5.3 does not properly sanitise and escape a parameter before using it in a SQL statement, leading to a SQL injection exploitable by users with a role as low as admin El complemento WP User Merger de WordPress anterior a 1.5.3 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que lleva a una inyección de SQL explotable por usuarios con un rol tan bajo como administrador. The WP User Merger plugin for WordPress is vulnerabl... • https://bulletin.iese.de/post/wp-user-merger_1-5-1_3 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 2CVE-2022-3865 – WP User Merger < 1.5.3 - Admin+ SQLi via ID
https://notcve.org/view.php?id=CVE-2022-3865
07 Nov 2022 — The WP User Merger WordPress plugin before 1.5.3 does not properly sanitise and escape a parameter before using it in a SQL statement, leading to a SQL injection exploitable by users with a role as low as admin El complemento WP User Merger de WordPress anterior a 1.5.3 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que lleva a una inyección de SQL explotable por usuarios con un rol tan bajo como administrador. The WP User Merger plugin for WordPress is vulnerabl... • https://bulletin.iese.de/post/wp-user-merger_1-5-1_1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •