CVE-2026-13767 in Quiz and Survey Master Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WordPress용 Quiz Master Next 플러그인은 11.2.0 버전(해당 버전 포함) 이하에서 저장된 퀴즈 페이지 데이터를 통해 SQL Injection 취약점이 존재합니다. 이는 qsm_ajax_save_pages() AJAX 핸들러가 사용자 제공 'pages' 매개변수에 대해 불충분한 이스케이프 처리(sanitize_text_field만 사용)를 수행하고, 143번째 줄의 qsm_options_questions_tab_content() 함수에서 기존 SQL 쿼리를 빌드할 때 충분한 준비(preparation) 작업이 이루어지지 않았기 때문입니다. 이 과정에서 저장된 페이지 ID가 $wpdb->prepare() 호출이나 정수 캐스팅 없이 implode()를 통해 IN() 절에 삽입됩니다. 이로 인해 권한 있는 공격자(편집 권한이 부여된 퀴즈의 소유자인 Author 이상 레벨의 사용자)는 SQL 페이로드를 심을 수 있으며, 이는 관리자를 포함한 모든 사용자가 퀴즈의 'Questions' 탭을 볼 때마다 2차적으로 실행되어 기존 쿼리에 추가적인 SQL 쿼리를 삽입할 수 있게 되고, 이를 통해 데이터베이스에서 민감한 정보를 추출하는 것이 가능해집니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Wordfence

예약하다

2026. 06. 29.

모더레이션

수락

항목

VDB-379489

EPSS

0.00000

출처

Do you need the next level of professionalism?

Upgrade your account now!