CVE-2026-28560 in wpForo Forum
Riassunto
di VulDB • 15/06/2026
wpForo Forum 2.4.14 presenta una vulnerabilità di stored cross-site scripting (XSS) che consente l'iniezione di codice tramite i dati dell'URL del forum, restituiti in un blocco inline script utilizzando json_encode senza la flag JSON_HEX_TAG. Gli attaccanti impostano uno slug del forum contenente un tag di chiusura dello script o una singola virgoletta non escapata per uscire dal contesto della stringa JavaScript ed eseguire codice arbitrario nei browser di tutti i visitatori.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.