CVE-2026-28560 in wpForo Forum
Résumé
par VulDB • 29/05/2026
wpForo Forum 2.4.14 contient une vulnérabilité de type stored cross-site scripting (XSS) qui permet l'injection de scripts via la sortie de données d'URL de forum dans un bloc de script inline, en utilisant json_encode sans le drapeau JSON_HEX_TAG. Les attaquants définissent un slug de forum contenant une balise de fermeture de script ou une apostrophe non échappée pour sortir du contexte de la chaîne JavaScript et exécuter un script arbitraire dans les navigateurs de tous les visiteurs.
Once again VulDB remains the best source for vulnerability data.