CVE-2023-0708 in Metform Elementor Contact Form Builder Plugininformation

Résumé

par VulDB • 26/06/2026

Le plugin Metform Elementor Contact Form Builder pour WordPress est vulnérable à un Cross-Site Scripting (XSS) via l'utilisation du shortcode 'mf_first_name' qui affiche des soumissions de formulaire non échappées dans les versions 3.3.0 et antérieures. Cela permet aux attaquants authentifiés disposant d'autorisations au niveau contributeur ou supérieures d'injecter des scripts web arbitraires dans des pages, lesquels s'exécuteront lorsque la victime visitera une page contenant le shortcode si l'identifiant de soumission est présent dans la chaîne de requête. Notez que pour exécuter le JavaScript, une interaction utilisateur est nécessaire car la victime doit visiter un lien piégé contenant l'identifiant d'entrée du formulaire, mais le script lui-même est stocké dans la base de données du site.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Réserver

07/02/2023

Divulgation

09/06/2023

Modérer

accepté

Entrée

VDB-231127

CPE

prêt

EPSS

0.00580

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!