CVE-2026-22201wpDiscuz 7.6.47之前版本存在严重的IP欺骗漏洞,该漏洞位于getIP()函数中。wpDiscuz是一个流行的WordPress评论插件,被数以万计的网站使用。该函数在获取用户IP地址时,错误地信任了HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR等HTTP请求头,而这些头信息可以被用户随意伪造。攻击者可以利用此漏洞绕过网站基于IP地址的速率限制机制、IP封禁策略以及反垃圾评论系统。此漏洞影响所有使用wpDiscuz插件且依赖IP地址进行安全控制的WordPress网站。攻击者无需任何认证即可发起攻击,仅需构造特定的HTTP请求头即可成功利用。
wpDiscuz插件的getIP()函数实现存在安全缺陷。正常情况下,服务器应使用$_SERVER['REMOTE_ADDR']获取客户端真实IP地址,但该函数优先读取HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR等可被用户控制的请求头。攻击者通过在HTTP请求中添加如下头信息即可伪造IP地址:HTTP_CLIENT_IP: 127.0.0.1 或 HTTP_X_FORWARDED_FOR: 1.2.3.4。这样做可以绕过基于IP的访问控制、速率限制(如评论频率限制)、IP封禁列表、以及反垃圾评论机制。攻击者可以频繁发布垃圾评论、暴力破解账户、或绕过地理封锁。该漏洞的根因在于函数错误地信任了客户端传来的不可信数据,违反了纵深防御原则。