CVE-2023-0709 in Metform Elementor Contact Form Builder Plugininformation

Résumé

par VulDB • 04/06/2026

Le plugin Metform Elementor Contact Form Builder pour WordPress est vulnérable à un Cross-Site Scripting (XSS) via l'utilisation du shortcode 'mf_last_name' qui affiche des soumissions de formulaire non échappées dans les versions 3.3.0 et antérieures. Cela permet aux attaquants authentifiés disposant de permissions de niveau contributeur ou supérieures d'injecter des scripts web arbitraires dans des pages qui s'exécuteront lorsque la victime visitera une page contenant le shortcode, à condition que l'identifiant de la soumission soit présent dans la chaîne de requête. Notez que l'exécution du JavaScript nécessite une interaction de l'utilisateur, car la victime doit visiter un lien piégé contenant l'identifiant de l'entrée du formulaire, mais le script lui-même est stocké dans la base de données du site.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Réserver

07/02/2023

Divulgation

09/06/2023

Modérer

accepté

Entrée

VDB-231125

CPE

prêt

EPSS

0.00556

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!