CVE-2026-13767 in Quiz and Survey Master Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das WordPress-Plugin Quiz Master Next ist in Versionen bis einschließlich 11.2.0 anfällig für SQL Injection über gespeicherte Quiz-Seitendaten. Dies liegt an unzureichender Escaping auf den benutzergesteuerten Parameter 'pages', der vom AJAX-Handler qsm_ajax_save_pages() (nur sanitize_text_field) persistiert wird, sowie am Fehlen einer ausreichenden Vorbereitung des bestehenden SQL-Abfrageaufbaus in qsm_options_questions_tab_content() in Zeile 143, wo die gespeicherten Seiten-IDs über implode() ohne $wpdb->prepare() und ohne Integer-Casting in eine IN()-Klausel interpoliert werden. Dies ermöglicht es authentifizierten Angreifern mit Autor-Rechten oder höher (die ein Quiz besitzen dürfen, das sie bearbeiten können), einen SQL-Payload einzuschleusen, der sekundär ausgeführt wird, sobald jeder Benutzer (einschließlich eines Administrators) die Fragenregisterkarte des Quizzes aufruft. Dadurch ist es möglich, zusätzliche SQL-Abfragen in bereits vorhandene Abfragen anzuhängen, um sensible Informationen aus der Datenbank zu extrahieren.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Wordfence

Reservieren

29.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379489

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!