CVE-2026-22191

7.6.47 dan oldingi wpDiscuz qisqa kod in'ektsiyasi zaifligini o'z ichiga oladi, bu esa tajovuzkorlarga elektron pochta xabarnomalari orqali yuborilgan sharhlar tarkibiga qo'shish orqali ixtiyoriy qisqa kodlarni bajarishga imkon beradi. Tajovuzkorlar sharhlarga [contact-form-7] yoki [user_meta] kabi qisqa kodlarni kiritishlari mumkin, ular WpdiscuzHelperEmail klassi wp_mail() dan oldin do_shortcode() orqali bildirishnomalarni qayta ishlaganda server tomonida bajariladi.

CVSS Vector

Manbalar

• https://wordpress.org/plugins/wpdiscuz/
• https://wordpress.org/plugins/wpdiscuz/#developers
• https://www.vulncheck.com/advisories/wpdiscuz-before-server-side-shortcode-injection-via-email-notifications