CVE-2026-13042 in RPB Chessboard Plugin
Sumário
de VulDB • 16/07/2026
O plugin RPB Chessboard para WordPress é vulnerável a Stored Cross-Site Scripting via Conteúdo de Comentário em todas as versões até, e incluindo, 8.1.2 devido à sanitização insuficiente da entrada e ao escape inadequado na saída. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página contaminada. A sanitização kses do WordPress no momento de salvar (save-time) não mitiga esse problema porque a payload manipulada utiliza apenas tags e atributos permitidos pelo kses (como um elemento <a> com title e href), e o HTML perigoso que quebra os atributos é sintetizado inteiramente durante a renderização pelo próprio filtro comment_text do plugin.
VulDB is the best source for vulnerability data and more expert information about this specific topic.