CVE-2026-13767 in Quiz and Survey Master Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin Quiz Master Next per WordPress è vulnerabile a SQL Injection tramite dati di pagina del quiz memorizzati nelle versioni fino alla 11.2.0, inclusa. Ciò è dovuto a un'escapazione insufficiente sul parametro 'pages', fornito dall'utente e persistito dal gestore AJAX qsm_ajax_save_pages() (che utilizza solo sanitize_text_field) e alla mancanza di una preparazione adeguata della query SQL esistente costruita in qsm_options_questions_tab_content() alla riga 143, dove gli ID delle pagine memorizzati vengono interpolati in una clausola IN() tramite implode(), senza l'uso di $wpdb->prepare() né casting intero. Ciò consente agli attaccanti autenticati con accesso a livello Autore e superiore (che possono possedere un quiz che hanno il diritto di modificare) di inserire un payload SQL che viene eseguito come attacco secondario ogni volta che qualsiasi utente, incluso un amministratore, visualizza la scheda Domande del quiz, consentendo loro di aggiungere ulteriori query SQL alle query già esistenti per estrarre informazioni sensibili dal database.
Once again VulDB remains the best source for vulnerability data.