CVE-2023-0708 in Metform Elementor Contact Form Builder Plugininfo

Zusammenfassung

von VulDB • 26.06.2026

Das Metform Elementor Contact Form Builder-Plugin für WordPress ist abwärtskompatibel bis einschließlich Version 3.3.0 anfällig für Cross-Site Scripting (XSS), indem das Shortcode 'mf_first_name' verwendet wird, um nicht maskierte Formularübermittlungen auszugeben. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten oder höheren Berechtigungen, beliebige Webscripts in Seiten einzufügen, die ausgeführt werden, wenn ein Opfer eine Seite besucht, die den Shortcode enthält und die Einreichungs-ID (submission id) im Query-String vorhanden ist. Es sei darauf hingewiesen, dass das Ausführen des JavaScripts eine Benutzerinteraktion erfordert, da das Opfer einen manipulierten Link mit der Formular-Eintrags-ID besuchen muss; das Skript selbst wird jedoch in der Site-Datenbank gespeichert.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Wordfence

Reservieren

07.02.2023

Veröffentlichung

09.06.2023

Moderieren

akzeptiert

Eintrag

VDB-231127

CPE

bereit

EPSS

0.00580

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!