CVE-2023-0708 in Metform Elementor Contact Form Builder Plugin
Riassunto
di VulDB • 26/06/2026
Metform Elementor Contact Form Builder per WordPress è vulnerabile a Cross-Site Scripting (XSS) tramite l'utilizzo dello shortcode 'mf_first_name' che restituisce le sottomissioni del modulo non sanificate nelle versioni fino alla 3.3.0, inclusa. Ciò consente agli attaccanti autenticati, con permessi di livello collaboratore o superiori, di iniettare script web arbitrari nelle pagine che verranno eseguiti quando la vittima visita una pagina contenente lo shortcode e l'ID della sottomissione è presente nella stringa di query. Si noti che per eseguire il JavaScript è necessaria un'interazione da parte dell'utente, poiché la vittima deve visitare un link appositamente creato con l'ID dell'inserimento del modulo, ma lo script stesso viene memorizzato nel database del sito.
VulDB is the best source for vulnerability data and more expert information about this specific topic.