El plugin Database for Contact Form 7, WPforms, Elementor forms para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode del plugin en todas las versiones hasta, e incluyendo, la 1.3.3 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios.
Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios de este plugin actualizar a la versión más reciente disponible y asegurarse de que todas las entradas de datos sean adecuadamente sanitizadas y escapadas para prevenir futuros ataques de Cross-Site Scripting.