wpDiscuz до версии 7.6.47 содержит уязвимость внедрения шорткода, которая позволяет злоумышленникам выполнять произвольные шорткоды, включая их в контент комментариев, отправляемых через уведомления по электронной почте. Злоумышленники могут вставлять в комментарии короткие коды, такие как [contact-form-7] или [user_meta], которые выполняются на стороне сервера, когда класс WpdiscuzHelperEmail обрабатывает уведомления через do_shortcode() перед wp_mail().
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains a shortcode injection vulnerability that allows attackers to execute arbitrary shortcodes by including them in comment content sent via email notifications. Attackers can inject shortcodes like [contact-form-7] or [user_meta] in comments, which are executed server-side when the WpdiscuzHelperEmail class processes notifications through do_shortcode() before wp_mail().
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|