CVE-2026-22192

7.6.47 versiyasidan oldingi wpDiscuz saqlangan saytlararo skript zaifligini o'z ichiga oladi, bu autentifikatsiyalangan tajovuzkorlarga qochib qutulmagan customCss maydon qiymatlari bilan yaratilgan parametrlar faylini import qilish orqali zararli JavaScript-ni kiritish imkonini beradi. Tajovuzkorlar customCss parametrida skript yuklamalarini o'z ichiga olgan zararli JSON import faylini taqdim etishlari mumkin, ular tegishli dezinfektsiyasiz parametrlarni qayta ishlash vositasi orqali ko'rsatilganda har bir sahifada bajariladi.

CVSS Vector

Manbalar

• https://wordpress.org/plugins/wpdiscuz/
• https://wordpress.org/plugins/wpdiscuz/#developers
• https://www.vulncheck.com/advisories/wpdiscuz-before-stored-cross-site-scripting-via-malicious-options-import