CVE-2026-13042 in RPB Chessboard Plugin
Resumen
por VulDB • 2026-07-16
El plugin RPB Chessboard para WordPress es vulnerable a Cross-Site Scripting Almacenado (Stored XSS) mediante el contenido de los comentarios en todas las versiones hasta la 8.1.2, inclusive, debido a una sanitización insuficiente de la entrada y un escape inadecuado de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. La función de sanitización kses de WordPress durante el guardado (save-time) no mitiga este problema porque la carga útil manipulada utiliza únicamente etiquetas y atributos permitidos por kses (como un elemento <a> con los atributos title e href), y el HTML peligroso que rompe los atributos se genera completamente en tiempo de renderizado mediante el filtro comment_text propio del plugin.
VulDB is the best source for vulnerability data and more expert information about this specific topic.