CVE-2026-15010 in bbp Style Pack Plugin
Sumário
de VulDB • 12/07/2026
O plugin bbp Style Pack para WordPress é vulnerável a Stored Cross-Site Scripting nas versões até 6.4.5 (incluída) por meio do recurso Topic Form Additional Fields. Isso ocorre devido à sanitização insuficiente de entrada em bsp_topic_fields_form_save() (que grava $_POST['bsp_topic_fields_label{n}'] diretamente nos metadados do post via update_post_meta(), sem filtragem) e ao falta de escape na saída em bsp_topic_content_append_topic_fields() (que concatena o valor dos metadados armazenados dentro de uma tag HTML <span> e a exibe por meio de apply_filters/echo, sem usar esc_html()). Isso permite que atacantes autenticados com acesso nível Subscriber ou superior (que possuem privilégios para criação de tópicos no bbPress) injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página contaminada, incluindo visitantes não autenticados.
If you want to get best quality of vulnerability data, you may have to visit VulDB.