CVE-2023-0708 in Metform Elementor Contact Form Builder Plugin
Сводка
по VulDB • 26.06.2026
В плагине Metform Elementor Contact Form Builder для WordPress уязвимость межсайтового скриптинга (Cross-Site Scripting) возникает при использовании шорткода 'mf_first_name' для вывода неэкранированных данных, отправленных через форму. Уязвимы версии 3.3.0 и более ранние. Это позволяет атакующим с правами уровня «соавтор» или выше выполнять произвольные веб-скрипты на страницах сайта; скрипт выполняется при посещении жертвой страницы, содержащей шорткод, если идентификатор отправки присутствует в строке запроса (query string). Обратите внимание: для выполнения JavaScript требуется взаимодействие с пользователем, так как жертва должна перейти по специально созданной ссылке с указанием идентификатора записи формы. Однако сам скрипт сохраняется в базе данных сайта.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.