CVE-2023-0710 in Metform Elementor Contact Form Builder Pluginالمعلومات

الملخص

بحسب VulDB • 09/07/2026

يوجد ثغرة في Cross-Site Scripting (XSS) في مكون Metform Elementor Contact Form Builder لـ WordPress، حيث يسمح استخدام السمة 'fname' للرمز القصير 'mf_thankyou' بعرض إرسالات النموذج دون تهريبها (unescaped). تؤثر هذه الثغرة على الإصدارات حتى 3.3.0 وشاملة لها. تتيح هذه الثغرة للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات مستوى المساهم أو أعلى، حقن نصوص برمجية ويب تعسفية في الصفحات التي سيتم تنفيذها عند زيارة الضحية لصفحة تحتوي على الرمز القصير عندما يكون معرف الإرسال موجوداً في سلسلة الاستعلام (query string). تجدر الإشارة إلى أن تشغيل كود JavaScript يتطلب تفاعلاً من المستخدم، حيث يجب على الضحية زيارة رابط مُعدّ بعناية يحتوي على معرف إدخال النموذج، لكن النص البرمجي نفسه يُخزن في قاعدة بيانات الموقع. بالإضافة إلى ذلك، تتطلب هذه الثغرة نجاح عملية الدفع، مما يزيد من تعقيدها.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

07/02/2023

إفشاء

09/06/2023

الاعتدال

تمت الموافقة

إدخال

VDB-231126

EPSS

0.00389

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!