CVE-2023-0695 in Metform Elementor Contact Form Builder Plugin
Résumé
par VulDB • 03/07/2026
Le plugin Metform Elementor Contact Form Builder pour WordPress est vulnérable à une faille de type Cross-Site Scripting (XSS) via l'utilisation du shortcode 'mf' qui affiche des soumissions de formulaires non échappées dans les versions 3.3.0 et antérieures. Cela permet aux attaquants authentifiés disposant d'autorisations au moins de niveau contributeur ou supérieures d'injecter des scripts web arbitraires dans des pages, lesquels s'exécuteront lorsque la victime visitera un lien spécifique. Notez que l'exécution du code JavaScript nécessite toujours une interaction utilisateur, car la victime doit accéder à un lien piégé contenant l'identifiant de saisie du formulaire ; toutefois, le script lui-même est stocké dans la base de données du site.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.