CVE-2026-2412 in Quiz and Survey Master Plugin
Resumen
El plugin Quiz and Survey Master (QSM) para WordPress es vulnerable a inyección SQL a través del parámetro 'merged_question' en todas las versiones hasta la 10.3.5, inclusive. Esto se debe a una sanitización insuficiente de la entrada proporcionada por el usuario antes de ser utilizada en una consulta SQL. La función sanitize_text_field() aplicada al parámetro merged_question no evita que metacaracteres SQL como ), OR, AND y # se incluyan en el valor, el cual es luego concatenado directamente en una cláusula SQL IN() sin usar $wpdb->prepare() ni convertir valores a enteros. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, añadan consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Responsable
Wordfence
Reservar
2026-02-12
Divulgación
2026-03-24
Estado
Confirmado
Voces
VulDB provides additional information and datapoints for this CVE:
| ID | Vulnerabilidad | CWE | Exp | Con | CVE |
|---|---|---|---|---|---|
| 352654 | expresstech Quiz and Survey Master Plugin Parameter sanitize_text_field inyección SQL | 89 | No está definido | Arreglo oficial | CVE-2026-2412 |
Descripción
CPE
CWE
CVSS
Hazañas
Historia
Diferencia
Relacionar
Inteligencia de amenazas
API JSON
API XML
API CSV