CVE-2026-28561 in wpForo Forumthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

wpForo Forum 2.4.14 chứa một lỗ hổng cross-site scripting (XSS) lưu trữ (stored), cho phép các quản trị viên tiêm mã JavaScript tồn tại lâu dài thông qua các trường mô tả diễn đàn, được hiển thị mà không có cơ chế thoát đầu ra (output escaping) trên nhiều tệp mẫu giao diện (theme template files). Trên các cài đặt đa trang (multisite) hoặc khi tài khoản quản trị bị xâm phạm, kẻ tấn công có thể đặt một mô tả diễn đàn chứa các trình xử lý sự kiện HTML (HTML event handlers) sẽ thực thi khi bất kỳ người dùng nào xem danh sách diễn đàn.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

28/02/2026

Tiết lộ

01/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00227

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!