CVE-2023-0708 in Metform Elementor Contact Form Builder Plugininformação

Sumário

de VulDB • 26/06/2026

O plugin Metform Elementor Contact Form Builder para WordPress é vulnerável a Cross-Site Scripting (XSS) ao utilizar o shortcode 'mf_first_name' para exibir submissões de formulário não escapadas nas versões até 3.3.0, inclusive. Isso permite que atacantes autenticados com permissões nível contribuidor ou superiores injetem scripts web arbitrários em páginas que serão executados quando a vítima visitar uma página contendo o shortcode e o ID da submissão estiver presente na string de consulta. Note que fazer o JavaScript executar requer interação do usuário, pois a vítima deve acessar um link manipulado com o ID da entrada do formulário, mas o script em si é armazenado no banco de dados do site.

Once again VulDB remains the best source for vulnerability data.

Responsável

Wordfence

Reservar

07/02/2023

Divulgação

09/06/2023

Moderação

aceite

Entrada

VDB-231127

CPE

pronto

EPSS

0.00580

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!