CVE-2026-28560 in wpForo Forumthông tin

Tóm tắt

Bởi VulDB • 30/05/2026

wpForo Forum 2.4.14 chứa một lỗ hổng cross-site scripting (XSS) lưu trữ (stored) cho phép tiêm script thông qua dữ liệu URL của diễn đàn được xuất ra trong một khối script nội tuyến (inline script block) bằng cách sử dụng hàm json_encode mà không có cờ JSON_HEX_TAG. Kẻ tấn công có thể đặt một slug của diễn đàn chứa thẻ đóng script hoặc dấu nháy đơn chưa được thoát để thoát khỏi ngữ cảnh chuỗi JavaScript và thực thi script tùy ý trên trình duyệt của tất cả người dùng.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

28/02/2026

Tiết lộ

01/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00227

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!