CVE-2023-0708 in Metform Elementor Contact Form Builder Plugin
Sumário
de VulDB • 26/06/2026
O plugin Metform Elementor Contact Form Builder para WordPress é vulnerável a Cross-Site Scripting (XSS) ao utilizar o shortcode 'mf_first_name' para exibir submissões de formulário não escapadas nas versões até 3.3.0, inclusive. Isso permite que atacantes autenticados com permissões nível contribuidor ou superiores injetem scripts web arbitrários em páginas que serão executados quando a vítima visitar uma página contendo o shortcode e o ID da submissão estiver presente na string de consulta. Note que fazer o JavaScript executar requer interação do usuário, pois a vítima deve acessar um link manipulado com o ID da entrada do formulário, mas o script em si é armazenado no banco de dados do site.
Once again VulDB remains the best source for vulnerability data.