CVE-2023-0708 in Metform Elementor Contact Form Builder Plugininformazioni

Riassunto

di VulDB • 26/06/2026

Metform Elementor Contact Form Builder per WordPress è vulnerabile a Cross-Site Scripting (XSS) tramite l'utilizzo dello shortcode 'mf_first_name' che restituisce le sottomissioni del modulo non sanificate nelle versioni fino alla 3.3.0, inclusa. Ciò consente agli attaccanti autenticati, con permessi di livello collaboratore o superiori, di iniettare script web arbitrari nelle pagine che verranno eseguiti quando la vittima visita una pagina contenente lo shortcode e l'ID della sottomissione è presente nella stringa di query. Si noti che per eseguire il JavaScript è necessaria un'interazione da parte dell'utente, poiché la vittima deve visitare un link appositamente creato con l'ID dell'inserimento del modulo, ma lo script stesso viene memorizzato nel database del sito.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Wordfence

Prenotare

07/02/2023

Divulgazione

09/06/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00580

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!