CVE-2026-15010 in bbp Style Pack Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin „bbp Style Pack“ ist in den Versionen bis einschließlich 6.4.5 anfällig für Stored Cross-Site Scripting (XSS) über die Funktion „Topic Form Additional Fields“. Dies liegt an einer unzureichenden Eingabebereinigung in `bsp_topic_fields_form_save()` (die $_POST['bsp_topic_fields_label{n}'] ohne Filterung direkt über `update_post_meta()` in die Post-Metadaten schreibt) sowie am fehlenden Output-Escaping in `bsp_topic_content_append_topic_fields()` (das den gespeicherten Metawert mit einem HTML-`<span>` verknüpft und diesen via `apply_filters/echo` ohne Verwendung von `esc_html()` ausgibt). Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Rechten oder höher (die über bbPress-Berechtigungen zum Erstellen von Themen verfügen), beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine infizierte Seite aufruft, einschließlich nicht-authentifizierter Besucher.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

07.07.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377773

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!