CVE-2026-15010 in bbp Style Pack Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin bbp Style Pack para WordPress presenta una vulnerabilidad de Cross-Site Scripting Almacenado (Stored XSS) en las versiones 6.4.5 y anteriores. Esto se debe a una sanitización insuficiente de la entrada en `bsp_topic_fields_form_save()` (que escribe directamente el valor de `$_POST['bsp_topic_fields_label{n}']` en los metadatos del artículo mediante `update_post_meta()`, sin aplicar ningún filtro) y a la falta de escape de salida en `bsp_topic_content_append_topic_fields()` (que concatena el valor almacenado en los metadatos dentro de una etiqueta HTML `<span>` y lo muestra mediante `apply_filters/echo` sin utilizar `esc_html()`). Esto permite que atacantes autenticados, con acceso a nivel de Suscriptor o superior (y por tanto con privilegios para crear temas en bbPress), inyecten scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una página infectada, incluidos los visitantes no autenticados.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Reservar

2026-07-07

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377773

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!