CVE-2026-15010 in bbp Style Pack Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin „bbp Style Pack“ ist in den Versionen bis einschließlich 6.4.5 anfällig für Stored Cross-Site Scripting (XSS) über die Funktion „Topic Form Additional Fields“. Dies liegt an einer unzureichenden Eingabebereinigung in `bsp_topic_fields_form_save()` (die $_POST['bsp_topic_fields_label{n}'] ohne Filterung direkt über `update_post_meta()` in die Post-Metadaten schreibt) sowie am fehlenden Output-Escaping in `bsp_topic_content_append_topic_fields()` (das den gespeicherten Metawert mit einem HTML-`<span>` verknüpft und diesen via `apply_filters/echo` ohne Verwendung von `esc_html()` ausgibt). Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Rechten oder höher (die über bbPress-Berechtigungen zum Erstellen von Themen verfügen), beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine infizierte Seite aufruft, einschließlich nicht-authentifizierter Besucher.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.