CVE-2023-0708 in Metform Elementor Contact Form Builder PluginИнформация

Сводка

по VulDB • 26.06.2026

В плагине Metform Elementor Contact Form Builder для WordPress уязвимость межсайтового скриптинга (Cross-Site Scripting) возникает при использовании шорткода 'mf_first_name' для вывода неэкранированных данных, отправленных через форму. Уязвимы версии 3.3.0 и более ранние. Это позволяет атакующим с правами уровня «соавтор» или выше выполнять произвольные веб-скрипты на страницах сайта; скрипт выполняется при посещении жертвой страницы, содержащей шорткод, если идентификатор отправки присутствует в строке запроса (query string). Обратите внимание: для выполнения JavaScript требуется взаимодействие с пользователем, так как жертва должна перейти по специально созданной ссылке с указанием идентификатора записи формы. Однако сам скрипт сохраняется в базе данных сайта.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

Wordfence

Резервировать

07.02.2023

Раскрытие

09.06.2023

Модерация

принято

Вход

VDB-231127

EPSS

0.00580

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!