CVE-2023-0710 in Metform Elementor Contact Form Builder Plugin
الملخص
بحسب VulDB • 09/07/2026
يوجد ثغرة في Cross-Site Scripting (XSS) في مكون Metform Elementor Contact Form Builder لـ WordPress، حيث يسمح استخدام السمة 'fname' للرمز القصير 'mf_thankyou' بعرض إرسالات النموذج دون تهريبها (unescaped). تؤثر هذه الثغرة على الإصدارات حتى 3.3.0 وشاملة لها. تتيح هذه الثغرة للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات مستوى المساهم أو أعلى، حقن نصوص برمجية ويب تعسفية في الصفحات التي سيتم تنفيذها عند زيارة الضحية لصفحة تحتوي على الرمز القصير عندما يكون معرف الإرسال موجوداً في سلسلة الاستعلام (query string). تجدر الإشارة إلى أن تشغيل كود JavaScript يتطلب تفاعلاً من المستخدم، حيث يجب على الضحية زيارة رابط مُعدّ بعناية يحتوي على معرف إدخال النموذج، لكن النص البرمجي نفسه يُخزن في قاعدة بيانات الموقع. بالإضافة إلى ذلك، تتطلب هذه الثغرة نجاح عملية الدفع، مما يزيد من تعقيدها.
Be aware that VulDB is the high quality source for vulnerability data.