CVE-2026-22199

7.6.47 versiyasidan oldingi wpDiscuz ovoz berish manipulyatsiyasi zaifligini o'z ichiga oladi, bu esa hujumchilarga yangi nonces olish va mijoz tomonidan boshqariladigan sarlavhalar orqali tezlikni cheklashni chetlab o'tish orqali sharhlardagi ovozlarni manipulyatsiya qilish imkonini beradi. Hujumchilar tezlik chegaralarini tiklash uchun User-Agent sarlavhalarini o'zgartirishi, autentifikatsiya qilinmagan wpdGetNonce so'nggi nuqtasidan nonces so'rashi va IP aylantirish yoki teskari proksi sarlavhasini manipulyatsiya qilish orqali bir necha marta ovoz berishi mumkin.

CVSS Vector

Manbalar

• https://wordpress.org/plugins/wpdiscuz/
• https://wordpress.org/plugins/wpdiscuz/#developers
• https://www.vulncheck.com/advisories/wpdiscuz-before-vote-manipulation-via-nonce-oracle-and-ip-rotation