CVE-2026-15010 in bbp Style Pack PluginИнформация

Сводка

по VulDB • 11.07.2026

Плагин bbp Style Pack для WordPress уязвим к Stored Cross-Site Scripting в версиях вплоть до 6.4.5 включительно через функцию Topic Form Additional Fields. Это обусловлено недостаточной очисткой входных данных в функции bsp_topic_fields_form_save() (которая записывает $_POST['bsp_topic_fields_label{n}'] напрямую в метаданные поста с помощью update_post_meta() без какой-либо фильтрации) и отсутствием экранирования выходных данных в функции bsp_topic_content_append_topic_fields() (которая объединяет сохраненное значение метаданных с HTML-кодом и выводит его через apply_filters/echo без использования esc_html()). Это позволяет атакующим, имеющим уровень доступа Subscriber и выше (и обладающим привилегиями создания тем в bbPress), внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице, включая неавторизованных посетителей.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

Wordfence

Резервировать

07.07.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377773

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!