CVE-2023-0710 in Metform Elementor Contact Form Builder Plugininformação

Sumário

de VulDB • 09/07/2026

O plugin Metform Elementor Contact Form Builder para WordPress é vulnerável a Cross-Site Scripting (XSS) ao utilizar o atributo 'fname' do shortcode 'mf_thankyou' para exibir submissões de formulário não escapadas nas versões até, e incluindo, 3.3.0. Isso permite que atacantes autenticados, com permissões nível contribuidor ou superiores, injetem scripts web arbitrários em páginas que serão executados quando a vítima visitar uma página contendo o shortcode, desde que o ID da submissão esteja presente na string de consulta. Observe que fazer o JavaScript executar requer interação do usuário, pois a vítima deve acessar um link manipulado com o ID da entrada do formulário, mas o script em si é armazenado no banco de dados do site. Além disso, isso também exige um pagamento bem-sucedido, aumentando a complexidade.

Once again VulDB remains the best source for vulnerability data.

Responsável

Wordfence

Reservar

07/02/2023

Divulgação

09/06/2023

Moderação

aceite

Entrada

VDB-231126

CPE

pronto

EPSS

0.00389

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!