CRITICAL🇬🇧 English

CVE-2026-22193

SQL Injection w wtyczce WordPress wpDiscuz (getAllSubscriptions)

CVSS 9.2v4.0pub. 2026-03-13upd. 2026-03-17

Wtyczka wpDiscuz dla WordPress w wersjach przed 7.6.47 zawiera podatność SQL injection w funkcji getAllSubscriptions(), umożliwiającą nieuwierzytelnionym atakującym manipulację zapytaniami do bazy danych. Ze względu na brak wymagania uwierzytelnienia i wysoki wynik CVSS 9.2, podatność stanowi krytyczne zagrożenie dla serwisów WordPress.

Pokaż oryginał (EN)

wpDiscuz before 7.6.47 contains an SQL injection vulnerability in the getAllSubscriptions() function where string parameters lack proper quote escaping in SQL queries. Attackers can inject malicious SQL code through email, activation_key, subscription_date, and imported_from parameters to manipulate database queries and extract sensitive information.

🤖 Analiza AI
Jak działa

Parametry przekazywane do funkcji getAllSubscriptions() — w tym email, activation_key, subscription_date oraz imported_from — nie są poddawane właściwemu escapowaniu znaków specjalnych przed użyciem w zapytaniach SQL. Atakujący może wstrzyknąć złośliwy kod SQL poprzez dowolny z tych parametrów, manipulując w ten sposób logiką zapytań wykonywanych na bazie danych. Ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika, jest możliwy do przeprowadzenia zdalnie przez sieć.

Skutki

Atakujący może wyodrębnić poufne dane z bazy danych WordPress, w tym dane użytkowników, hasła czy konfiguracje. W zależności od uprawnień bazy danych możliwa jest również modyfikacja lub usunięcie danych, co może prowadzić do pełnego przejęcia kontroli nad aplikacją.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę wpDiscuz do wersji 7.6.47 lub nowszej. Aktualizacja dostępna jest w repozytorium WordPress pod adresem wordpress.org/plugins/wpdiscuz/. Do czasu aplikacji patcha zaleca się rozważenie tymczasowego wyłączenia wtyczki lub ograniczenia dostępu do endpointów obsługujących subskrypcje na poziomie firewall aplikacji webowej (WAF).

Kogo dotyczy

Wtyczka WordPress wpDiscuz (Gvectors) w wersjach przed 7.6.47

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Gvectors Wpdiscuz

    APP
    Gvectors
    < 7.6.47
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-9488CRITICAL9.8PL ✓ten sam produkt

Authentication bypass w pluginie wpDiscuz dla WordPress (do wersji 7.6.24)

CVE-2020-24186CRITICAL10.0ten sam produkt

A Remote Code Execution vulnerability exists in the gVectors wpDiscuz plugin 7.0 through 7.0.4 for WordPress, ...

CVE-2020-13640CRITICAL9.8ten sam produkt

A SQL injection issue in the gVectors wpDiscuz plugin 5.3.5 and earlier for WordPress allows remote attackers ...

CVE-2026-22182HIGH8.7ten sam produkt

wpDiscuz before 7.6.47 contains an unauthenticated denial of service vulnerability that allows anonymous users...

CVE-2026-22192HIGH8.8ten sam produkt

Voltronic Power SNMP Web Pro version 1.1 contains an authentication bypass vulnerability that allows unauthent...