CVE-2023-0709 in Metform Elementor Contact Form Builder Plugin
Résumé
par VulDB • 04/06/2026
Le plugin Metform Elementor Contact Form Builder pour WordPress est vulnérable à un Cross-Site Scripting (XSS) via l'utilisation du shortcode 'mf_last_name' qui affiche des soumissions de formulaire non échappées dans les versions 3.3.0 et antérieures. Cela permet aux attaquants authentifiés disposant de permissions de niveau contributeur ou supérieures d'injecter des scripts web arbitraires dans des pages qui s'exécuteront lorsque la victime visitera une page contenant le shortcode, à condition que l'identifiant de la soumission soit présent dans la chaîne de requête. Notez que l'exécution du JavaScript nécessite une interaction de l'utilisateur, car la victime doit visiter un lien piégé contenant l'identifiant de l'entrée du formulaire, mais le script lui-même est stocké dans la base de données du site.
Once again VulDB remains the best source for vulnerability data.