CVE-2022-2839

Versões do Zephyr Project Manager anteriores à 3.2.55

O problema diz respeito à falta de autorização e proteção contra CSRF em todas as ações AJAX do plugin, permitindo que usuários não autenticados chamem essas ações diretamente ou por meio de ataques CSRF. Além disso, devido à sanitização e ao escape insuficientes, isso também poderia permitir ataques de Stored Cross-Site Scripting contra administradores conectados.

Para versões anteriores à 3.2.55, atualize para a versão 3.2.55 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às ações AJAX para minimizar o risco de exploração.