CVE-2026-22216

7.6.47 versiyasidan oldingi wpDiscuz tarkibida autentifikatsiya qilinmagan tajovuzkorlarga class.WpdiscuzHelperAjax.php faylidagi wpdAddSubscription ishlov beruvchisiga POST so'rovlarini yuborish orqali xabarnomalarga o'zboshimchalik bilan elektron pochta manzillarini obuna bo'lish imkonini beruvchi tezlikni cheklovchi zaiflik yo'q. Hujumchilar obuna so'rovidagi LIKE joker belgilardan foydalanib, bir nechta elektron pochta manzillarini moslashtirishlari va jabrlanuvchi akkauntlariga keraksiz bildirishnoma elektron pochta xabarlarini yaratishlari mumkin.

CVSS Vector

Manbalar

• https://wordpress.org/plugins/wpdiscuz/
• https://wordpress.org/plugins/wpdiscuz/#developers
• https://www.vulncheck.com/advisories/wpdiscuz-before-no-rate-limiting-on-subscription-endpoints-with-like-wildcard-bypass