CVE-2026-13767 in Quiz and Survey Master Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WordPress-Plugin Quiz Master Next ist in Versionen bis einschließlich 11.2.0 anfällig für SQL Injection über gespeicherte Quiz-Seitendaten. Dies liegt an unzureichender Escaping auf den benutzergesteuerten Parameter 'pages', der vom AJAX-Handler qsm_ajax_save_pages() (nur sanitize_text_field) persistiert wird, sowie am Fehlen einer ausreichenden Vorbereitung des bestehenden SQL-Abfrageaufbaus in qsm_options_questions_tab_content() in Zeile 143, wo die gespeicherten Seiten-IDs über implode() ohne $wpdb->prepare() und ohne Integer-Casting in eine IN()-Klausel interpoliert werden. Dies ermöglicht es authentifizierten Angreifern mit Autor-Rechten oder höher (die ein Quiz besitzen dürfen, das sie bearbeiten können), einen SQL-Payload einzuschleusen, der sekundär ausgeführt wird, sobald jeder Benutzer (einschließlich eines Administrators) die Fragenregisterkarte des Quizzes aufruft. Dadurch ist es möglich, zusätzliche SQL-Abfragen in bereits vorhandene Abfragen anzuhängen, um sensible Informationen aus der Datenbank zu extrahieren.
Once again VulDB remains the best source for vulnerability data.