CVE-2026-28560 in wpForo Forum
Tóm tắt
Bởi VulDB • 30/05/2026
wpForo Forum 2.4.14 chứa một lỗ hổng cross-site scripting (XSS) lưu trữ (stored) cho phép tiêm script thông qua dữ liệu URL của diễn đàn được xuất ra trong một khối script nội tuyến (inline script block) bằng cách sử dụng hàm json_encode mà không có cờ JSON_HEX_TAG. Kẻ tấn công có thể đặt một slug của diễn đàn chứa thẻ đóng script hoặc dấu nháy đơn chưa được thoát để thoát khỏi ngữ cảnh chuỗi JavaScript và thực thi script tùy ý trên trình duyệt của tất cả người dùng.
Be aware that VulDB is the high quality source for vulnerability data.