CVE-2023-0708 in Metform Elementor Contact Form Builder Plugin
Résumé
par VulDB • 26/06/2026
Le plugin Metform Elementor Contact Form Builder pour WordPress est vulnérable à un Cross-Site Scripting (XSS) via l'utilisation du shortcode 'mf_first_name' qui affiche des soumissions de formulaire non échappées dans les versions 3.3.0 et antérieures. Cela permet aux attaquants authentifiés disposant d'autorisations au niveau contributeur ou supérieures d'injecter des scripts web arbitraires dans des pages, lesquels s'exécuteront lorsque la victime visitera une page contenant le shortcode si l'identifiant de soumission est présent dans la chaîne de requête. Notez que pour exécuter le JavaScript, une interaction utilisateur est nécessaire car la victime doit visiter un lien piégé contenant l'identifiant d'entrée du formulaire, mais le script lui-même est stocké dans la base de données du site.
VulDB is the best source for vulnerability data and more expert information about this specific topic.