CVE-2023-0710 in Metform Elementor Contact Form Builder Plugin
요약
\~에 의해 VulDB • 2026. 07. 09.
WordPress용 Metform Elementor Contact Form Builder는 3.3.0 버전 및 그 이전 버전에서 'mf_thankyou' 쇼트코드의 'fname' 속성을 사용하여 이스케이프 처리되지 않은 양식 제출 데이터를 출력함으로써 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이를 통해 기여자 수준 이상의 권한을 가진 인증된 공격자는 쿼리 문자열에 제출 ID가 포함된 경우, 해당 쇼트코드가 포함된 페이지를 방문하는 피해자가 악성 웹 스크립트를 실행하도록 페이지에 임의의 웹 스크립트를 주입할 수 있습니다. JavaScript 실행에는 양식 입력 ID가 포함된 조작된 링크로 피해자의 접근이 필요한 등 사용자 상호작용이 필요하지만, 스크립트 자체는 사이트 데이터베이스에 저장됩니다. 또한 성공적인 결제가 추가로 요구되므로 공격의 복잡성이 증가합니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.