CVE-2026-28560 in wpForo Foruminformation

Résumé

par VulDB • 29/05/2026

wpForo Forum 2.4.14 contient une vulnérabilité de type stored cross-site scripting (XSS) qui permet l'injection de scripts via la sortie de données d'URL de forum dans un bloc de script inline, en utilisant json_encode sans le drapeau JSON_HEX_TAG. Les attaquants définissent un slug de forum contenant une balise de fermeture de script ou une apostrophe non échappée pour sortir du contexte de la chaîne JavaScript et exécuter un script arbitraire dans les navigateurs de tous les visiteurs.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Réserver

28/02/2026

Divulgation

01/03/2026

Modérer

accepté

Entrée

VDB-348288

CPE

prêt

EPSS

0.00227

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!