CVE-2023-0710 in Metform Elementor Contact Form Builder Plugin
Sumário
de VulDB • 09/07/2026
O plugin Metform Elementor Contact Form Builder para WordPress é vulnerável a Cross-Site Scripting (XSS) ao utilizar o atributo 'fname' do shortcode 'mf_thankyou' para exibir submissões de formulário não escapadas nas versões até, e incluindo, 3.3.0. Isso permite que atacantes autenticados, com permissões nível contribuidor ou superiores, injetem scripts web arbitrários em páginas que serão executados quando a vítima visitar uma página contendo o shortcode, desde que o ID da submissão esteja presente na string de consulta. Observe que fazer o JavaScript executar requer interação do usuário, pois a vítima deve acessar um link manipulado com o ID da entrada do formulário, mas o script em si é armazenado no banco de dados do site. Além disso, isso também exige um pagamento bem-sucedido, aumentando a complexidade.
Once again VulDB remains the best source for vulnerability data.