CVE-2023-0708 in Metform Elementor Contact Form Builder Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 27.

WordPress용 Metform Elementor Contact Form Builder는 3.3.0 버전(포함) 이하에서 'mf_first_name' 쇼트코드를 사용하여 이스케이프 처리되지 않은 양식 제출 데이터를 출력함으로써 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이로 인해 기여자(contributor) 이상의 권한을 가진 인증된 공격자는 쿼리 문자열에 제출 ID가 포함된 경우, 해당 쇼트코드가 포함된 페이지를 방문하는 피해자가 웹 스크립트를 실행할 수 있도록 임의의 웹 스크립트를 페이지에 주입할 수 있습니다. JavaScript 실행에는 사용자의 상호작용이 필요한데, 이는 피해자가 양식 엔트리 ID가 포함된 조작된 링크를 방문해야 하기 때문입니다. 하지만 스크립트 자체는 사이트 데이터베이스에 저장됩니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

Wordfence

예약하다

2023. 02. 07.

모더레이션

수락

항목

VDB-231127

EPSS

0.00580

출처

Interested in the pricing of exploits?

See the underground prices here!