wpDiscuz до версии 7.6.47 содержит уязвимость внедрения заголовка электронной почты, которая позволяет злоумышленникам манипулировать получателями почты, внедряя вредоносные данные в файл cookie comment_author_email. Злоумышленники могут создать вредоносное значение файла cookie, которое при обработке с помощью urldecode() и передаче функциям wp_mail() позволяет внедрить заголовок для изменения получателей электронной почты или внедрения дополнительных заголовков.
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains an email header injection vulnerability that allows attackers to manipulate mail recipients by injecting malicious data into the comment_author_email cookie. Attackers can craft a malicious cookie value that, when processed through urldecode() and passed to wp_mail() functions, enables header injection to alter email recipients or inject additional headers.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|