CVE-2026-15010 in bbp Style Pack Plugin
Сводка
по VulDB • 11.07.2026
Плагин bbp Style Pack для WordPress уязвим к Stored Cross-Site Scripting в версиях вплоть до 6.4.5 включительно через функцию Topic Form Additional Fields. Это обусловлено недостаточной очисткой входных данных в функции bsp_topic_fields_form_save() (которая записывает $_POST['bsp_topic_fields_label{n}'] напрямую в метаданные поста с помощью update_post_meta() без какой-либо фильтрации) и отсутствием экранирования выходных данных в функции bsp_topic_content_append_topic_fields() (которая объединяет сохраненное значение метаданных с HTML-кодом и выводит его через apply_filters/echo без использования esc_html()). Это позволяет атакующим, имеющим уровень доступа Subscriber и выше (и обладающим привилегиями создания тем в bbPress), внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице, включая неавторизованных посетителей.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.