wpForo Forum 2.4.14 содержит сохраненную уязвимость межсайтового скриптинга, которая позволяет внедрять скрипты через вывод данных URL-адреса форума во встроенный блок скрипта с использованием json_encode без флага JSON_HEX_TAG. Злоумышленники установили фрагмент форума, содержащий закрывающий тег сценария или неэкранированную одинарную кавычку, чтобы вырваться из контекста строки JavaScript и выполнить произвольный сценарий в браузерах всех посетителей.
Показать оригинальное описание (EN)
wpForo Forum 2.4.14 contains a stored cross-site scripting vulnerability that allows script injection via forum URL data output into an inline script block using json_encode without the JSON_HEX_TAG flag. Attackers set a forum slug containing a closing script tag or unescaped single quote to break out of the JavaScript string context and execute arbitrary script in all visitors' browsers.
Характеристики атаки
Последствия
Строка CVSS v4.0