CVE-2026-22204

7.6.47 versiyasidan oldingi wpDiscuz elektron pochta sarlavhasini kiritish zaifligini o'z ichiga oladi, bu esa tajovuzkorlarga comment_author_email cookie-fayliga zararli ma'lumotlarni kiritish orqali pochta oluvchilarini manipulyatsiya qilish imkonini beradi. Tajovuzkorlar urldecode() orqali qayta ishlangan va wp_mail() funktsiyalariga uzatilganda, sarlavhani kiritish orqali elektron pochta oluvchilarini o'zgartirish yoki qo'shimcha sarlavhalarni kiritish imkonini beruvchi zararli cookie qiymatini yaratishi mumkin.

CVSS Vector

Manbalar

• https://wordpress.org/plugins/wpdiscuz/
• https://wordpress.org/plugins/wpdiscuz/#developers
• https://www.vulncheck.com/advisories/wpdiscuz-before-unsanitized-cookie-email-used-as-wp-mail-recipient