Plataforma
wordpress
Componente
wpdiscuz
Corregido en
7.6.47
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en wpDiscuz, afectando a versiones anteriores a 7.6.47. Esta falla permite a atacantes, mediante solicitudes GET maliciosas con una clave HMAC válida, eliminar todos los comentarios asociados a una dirección de correo electrónico específica. La vulnerabilidad fue publicada el 13 de marzo de 2026 y se recomienda actualizar a la versión 7.6.47 para solucionar el problema.
La vulnerabilidad CSRF en wpDiscuz permite a un atacante, sin necesidad de autenticación, eliminar permanentemente todos los comentarios vinculados a una dirección de correo electrónico. Esto puede resultar en la pérdida de información valiosa, daño a la reputación y, potencialmente, la interrupción del servicio. El atacante puede incrustar la URL de acción deletecomments en etiquetas de imagen u otros recursos, engañando a los usuarios para que ejecuten la acción sin su conocimiento o confirmación. La ausencia de protección CSRF basada en POST agrava el riesgo, facilitando la explotación de esta vulnerabilidad.
Actualmente no se han reportado campañas de explotación activas para CVE-2026-22202. La vulnerabilidad ha sido agregada al catálogo KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Websites utilizing the wpDiscuz comment system plugin, particularly those running versions prior to 7.6.47, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially be leveraged to target others.
• wordpress / composer / npm:
grep -r 'deletecomments' /var/www/html/wp-content/plugins/wpdiscuz/• wordpress / composer / npm:
wp plugin list | grep wpdiscuz• wordpress / composer / npm:
wp plugin update wpdiscuz• generic web:
Inspect website source code for embedded URLs containing deletecomments and a valid HMAC key.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-22202 es actualizar wpDiscuz a la versión 7.6.47 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales. Implementar una política de seguridad de contenido (CSP) estricta puede ayudar a mitigar los ataques CSRF al restringir las fuentes de las que se pueden cargar los recursos. Además, monitorear los registros del sitio web en busca de solicitudes sospechosas al endpoint deletecomments puede ayudar a detectar y responder a posibles ataques. Después de la actualización, verifique la integridad de los datos y la funcionalidad del sistema para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin wpDiscuz a la versión 7.6.47 o superior. Esta versión corrige la vulnerabilidad CSRF que permite la eliminación de comentarios sin confirmación. La actualización se puede realizar desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22202 is a cross-site request forgery vulnerability in wpDiscuz versions 0–7.6.47, allowing attackers to delete comments associated with an email address.
You are affected if you are using wpDiscuz versions prior to 7.6.47. Upgrade immediately to mitigate the risk.
Upgrade the wpDiscuz plugin to version 7.6.47 or later. Consider WAF rules as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability is considered likely to be targeted.
Refer to the official wpDiscuz website and WordPress plugin repository for updates and advisories related to CVE-2026-22202.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.