PT-2026-60436 · WordPress · Wpforo Forum

·

CVE-2026-15021

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

CVSS v3.1

6.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas wpForo Forum plugin for WordPress versões anteriores a 3.1.2
Descrição Ocorre Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de assinante ou superior podem injetar scripts web arbitrários em páginas. O problema reside no campo de perfil location, onde a função sanitize text field() não codifica aspas duplas. Isso permite que um atacante escape do contexto do atributo href e injete atributos de manipuladores de eventos, que são executados quando um usuário acessa a página afetada.
Recomendações Atualize o plugin para a versão 3.1.2 ou posterior. Como mitigação temporária, restrinja a capacidade de usuários com nível de assinante de editar o campo de perfil location.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15021

Produtos afetados

Wpforo Forum