CVE-2026-28559— WordPress plugin wpForo Forum 信息泄露漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-28559の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
wpForo Forum 2.4.14 Information Disclosure via Global RSS Feed
ソース: NVD (National Vulnerability Database)
脆弱性説明
wpForo Forum 2.4.14 contains an information disclosure vulnerability that allows unauthenticated users to retrieve private and unapproved forum topics via the global RSS feed endpoint. Attackers request the RSS feed without a forum ID parameter, bypassing the privacy and status WHERE clauses that are only applied when a specific forum ID is present in the query.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WordPress plugin wpForo Forum 信息泄露漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin wpForo Forum 2.4.14版本存在信息泄露漏洞,该漏洞源于全局RSS feed端点缺少隐私和状态检查,可能导致信息泄露。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| gVectors Team | wpForo Forum | 2.4 ~ 2.4.16 | - |
II. CVE-2026-28559の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-28559のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · gVectors Team · 2026-02-28 · 9 CVEs total
| CVE-2026-28562 | 8.2 HIGH | wpForo Forum 2.4.14 SQL Injection via Topics ORDER BY Parameter |
| CVE-2026-28557 | 6.5 MEDIUM | wpForo Forum 2.4.14 Privilege Escalation via Role Synchronization Handler |
| CVE-2026-28558 | 6.4 MEDIUM | wpForo Forum 2.4.14 Stored XSS via SVG Avatar File Upload |
| CVE-2026-28561 | 5.5 MEDIUM | wpForo Forum 2.4.14 Stored XSS via Unescaped Forum Description in Templates |
| CVE-2026-28560 | 5.5 MEDIUM | wpForo Forum 2.4.14 Stored XSS via Unsafe JSON Encoding in Inline Script |
| CVE-2026-28556 | 5.4 MEDIUM | wpForo Forum 2.4.14 Missing Authorization via Topic Management Form Handlers |
| CVE-2026-28555 | 4.3 MEDIUM | wpForo Forum 2.4.14 Missing Authorization via Topic Close AJAX Handler |
| CVE-2026-28554 | 4.3 MEDIUM | wpForo Forum 2.4.14 Missing Authorization via Post Approval AJAX Handler |
IV. 関連脆弱性
同じ製品: wpForo Forum
- CVE-2026-6248
wpForo Forum <= 3.0.5 - Authenticated (Subscriber+) Arbitrar - CVE-2026-4666
wpForo Forum <= 2.4.16 - Missing Authorization to Authentica - CVE-2026-5809
wpForo Forum <= 3.0.2 - Authenticated (Subscriber+) Arbitrar - CVE-2026-3666
wpForo Forum <= 2.4.16 - Authenticated (Subscriber+) Arbitra - CVE-2026-28562
wpForo Forum 2.4.14 SQL Injection via Topics ORDER BY Parame
同じベンダー: gVectors Team
- CVE-2026-28562
wpForo Forum 2.4.14 SQL Injection via Topics ORDER BY Parame - CVE-2026-28561
wpForo Forum 2.4.14 Stored XSS via Unescaped Forum Descripti - CVE-2026-28560
wpForo Forum 2.4.14 Stored XSS via Unsafe JSON Encoding in I - CVE-2026-28558
wpForo Forum 2.4.14 Stored XSS via SVG Avatar File Upload - CVE-2026-28557
wpForo Forum 2.4.14 Privilege Escalation via Role Synchroniz
同じ弱点: CWE-200
- CVE-2026-42333
quarkus-openapi-generator has overly broad path-parameter ma - CVE-2026-8198
Activity Logs, User Activity Tracking, Multisite Activity Lo - CVE-2026-42456
AnythingLLM: Cross-User TTS Audio Disclosure via Chat ID (ID - CVE-2026-41520
Cillium exposes sensitive information included in the cilium - CVE-2026-25199
Apache CloudStack: Proxmox Extension Allows Unauthorized Cro
V. CVE-2026-28559へのコメント
まだコメントはありません