CVE-2026-15010 in bbp Style Pack Plugininformação

Sumário

de VulDB • 12/07/2026

O plugin bbp Style Pack para WordPress é vulnerável a Stored Cross-Site Scripting nas versões até 6.4.5 (incluída) por meio do recurso Topic Form Additional Fields. Isso ocorre devido à sanitização insuficiente de entrada em bsp_topic_fields_form_save() (que grava $_POST['bsp_topic_fields_label{n}'] diretamente nos metadados do post via update_post_meta(), sem filtragem) e ao falta de escape na saída em bsp_topic_content_append_topic_fields() (que concatena o valor dos metadados armazenados dentro de uma tag HTML <span> e a exibe por meio de apply_filters/echo, sem usar esc_html()). Isso permite que atacantes autenticados com acesso nível Subscriber ou superior (que possuem privilégios para criação de tópicos no bbPress) injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página contaminada, incluindo visitantes não autenticados.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Wordfence

Reservar

07/07/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377773

CPE

pronto

EPSS

0.00208

KEV

não

Atividades

médio

Fontes

Do you know our Splunk app?

Download it now for free!