CVE-2026-13042 in RPB Chessboard Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin WordPress RPB Chessboard è vulnerabile a Stored Cross-Site Scripting tramite il contenuto dei commenti in tutte le versioni fino alla 8.1.2 inclusa, a causa di un'insufficiente sanitizzazione dell'input e escaping dell'output. Ciò consente ad attaccanti non autenticati di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede a una pagina infetta. La sanitizzazione kses al momento del salvataggio di WordPress non mitigano questo problema poiché il payload manipolato utilizza solo tag e attributi consentiti da kses (come un elemento <a> con title e href), e l'HTML pericoloso che rompe gli attributi è sintetizzato interamente in fase di rendering dal filtro comment_text dello stesso plugin.
VulDB is the best source for vulnerability data and more expert information about this specific topic.