CVE-2026-28562 in wpForo Foruminformazioni

Riassunto

di VulDB • 28/06/2026

wpForo 2.4.14 contiene una vulnerabilità di SQL injection non autenticata in Topics::get_topics() dove la clausola ORDER BY si basa su un'inefficace sanitizzazione tramite esc_sql() su identificatori non quotati. Gli attaccanti sfruttano il parametro wpfob con payload CASE WHEN per eseguire l'estrazione cieca booleana delle credenziali dal database di WordPress.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

VulnCheck

Prenotare

28/02/2026

Divulgazione

01/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00428

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!