CVE-2026-22204CVE-2026-22204是WordPress热门评论插件wpDiscuz中的一个邮件头注入漏洞。该漏洞存在于7.6.47之前的所有版本,攻击者可以通过在comment_author_email Cookie中注入恶意数据,利用urldecode()函数处理过程中的安全缺陷,向wp_mail()函数传递经过处理的恶意数据,从而实现邮件头注入攻击。攻击者利用此漏洞可以修改邮件收件人地址、伪造发件人信息,甚至注入额外的邮件头来执行钓鱼攻击或发送垃圾邮件。由于该漏洞无需认证即可利用,且影响所有使用该插件的WordPress站点,因此对使用wpDiscuz的网站构成了实际安全威胁。
该漏洞的核心问题在于wpDiscuz插件对用户输入的Cookie值(comment_author_email)处理不当。当用户提交评论时,插件会从Cookie中读取comment_author_email字段的值,该值会经过urldecode()函数解码后直接传递给WordPress的wp_mail()函数。攻击者可以通过构造恶意的Cookie值,在email地址中注入换行符和额外的邮件头指令。例如,在email字段中注入CC:、BCC:等头信息,可以改变邮件的原始收件人。攻击者还可以通过注入From:头伪造发件人地址,实施钓鱼攻击。由于urldecode()函数的存在,URL编码的特殊字符会被解码,使得过滤机制可能被绕过。wp_mail()函数在处理邮件头时,如果包含未经过滤的用户输入,就会导致邮件头注入漏洞。