wpForo Forum 2.4.14 contains a stored cross-site scripting vulnerability that allows authenticated subscribers to upload SVG files as profile avatars through the avatar upload functionality. Attackers upload a crafted SVG containing CSS injection or JavaScript event handlers that execute in the browsers of any user who views the attacker's profile page.
wpForo Forum 2.4.14 allows authenticated users to upload malicious SVG files as profile avatars, enabling stored XSS attacks that execute when other users view the attacker's profile. This vulnerability affects any organization using wpForo for community forums or discussion platforms.
تحتوي ثغرة CVE-2026-28558 على ثغرة XSS مخزنة في منتدى wpForo الإصدار 2.4.14 حيث يمكن للمستخدمين المصرحين رفع ملفات SVG تحتوي على معالجات أحداث JavaScript أو حقن CSS. عند عرض ملف المهاجم الشخصي، يتم تنفيذ الكود الضار في متصفحات جميع المستخدمين الآخرين، مما يؤدي إلى سرقة الجلسات أو بيانات المستخدم.
منتدى wpForo الإصدار 2.4.14 يسمح للمستخدمين المصرحين برفع ملفات SVG ضارة كصور ملف شخصي، مما يمكّن هجمات XSS المخزنة التي تنفذ عند عرض ملف المهاجم. تؤثر هذه الثغرة على أي منظمة تستخدم wpForo للمنتديات المجتمعية.
Upgrade wpForo to version 2.4.15 or later immediately. Implement strict file upload validation to reject SVG files or sanitize SVG content. Configure web server to serve uploaded avatars with Content-Security-Policy headers. Disable SVG upload functionality if not required. Monitor user accounts for suspicious avatar uploads.
قم بترقية wpForo إلى الإصدار 2.4.15 أو أحدث فوراً. طبق التحقق الصارم من رفع الملفات لرفض ملفات SVG أو تنظيف محتوى SVG. قم بتكوين خادم الويب لتقديم الصور المرفوعة مع رؤوس Content-Security-Policy. عطّل وظيفة رفع SVG إذا لم تكن مطلوبة. راقب حسابات المستخدمين للبحث عن رفع صور مريبة.