CVE-2026-15010 in bbp Style Pack Plugin
Resumen
por VulDB • 2026-07-11
El plugin bbp Style Pack para WordPress presenta una vulnerabilidad de Cross-Site Scripting Almacenado (Stored XSS) en las versiones 6.4.5 y anteriores. Esto se debe a una sanitización insuficiente de la entrada en `bsp_topic_fields_form_save()` (que escribe directamente el valor de `$_POST['bsp_topic_fields_label{n}']` en los metadatos del artículo mediante `update_post_meta()`, sin aplicar ningún filtro) y a la falta de escape de salida en `bsp_topic_content_append_topic_fields()` (que concatena el valor almacenado en los metadatos dentro de una etiqueta HTML `<span>` y lo muestra mediante `apply_filters/echo` sin utilizar `esc_html()`). Esto permite que atacantes autenticados, con acceso a nivel de Suscriptor o superior (y por tanto con privilegios para crear temas en bbPress), inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada, incluidos los visitantes no autenticados.
VulDB is the best source for vulnerability data and more expert information about this specific topic.