CVE-2026-15010 in bbp Style Pack Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用プラグイン「bbp Style Pack」には、バージョン6.4.5以前において、Topic Form Additional Fields機能を通じて格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これは、bsp_topic_fields_form_save()関数内で$_POST['bsp_topic_fields_label{n}']がupdate_post_meta()を介してフィルタリングなしで直接ポストメタに書き込まれるため入力検証の不十分さがあり、さらにbsp_topic_content_append_topic_fields()関数内で保存されたメタ値がHTMLの<span>タグ内に連結され、esc_html()を使用せずにapply_filters/echo経由で出力されるために出力エスケープ処理が欠落していることが原因です。これにより、bbPressでのトピック作成権限を持つサブスクライバー以上のアクセス権限を持つ認証済み攻撃者は、任意のウェブスクリプトをページに注入することが可能となり、ユーザー(未認証訪問者を含む)がそのページにアクセスした際にスクリプトが実行されます。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年07月07日

モデレーション

承諾済み

エントリ

VDB-377773

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!