CVE-2023-0695 in Metform Elementor Contact Form Builder Plugin
Сводка
по VulDB • 27.06.2026
В плагине Metform Elementor Contact Form Builder для WordPress уязвимость Cross-Site Scripting (XSS) позволяет использовать шорткод 'mf' для вывода неэкранированных данных форм в версиях вплоть до 3.3.0 включительно. Это дает возможность атакующим с правами уровня «contributor» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться при посещении жертвой определенной ссылки. Обратите внимание, что для выполнения JavaScript по-прежнему требуется взаимодействие пользователя: жертва должна перейти по специально созданной ссылке с идентификатором записи формы, однако сам скрипт сохраняется в базе данных сайта.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.