CVE-2026-5797 in Quiz and Survey Master Plugin
요약
\~에 의해 VulDB • 2026. 06. 04.
WordPress용 Quiz And Survey Master 플러그인은 11.1.0 버전까지 임의의 숏코드 실행(Arbitrary Shortcode Execution) 취약점이 존재합니다. 이는 불충분한 입력 정제(input sanitization)와 사용자 제출 퀴즈 답변 텍스트에 대해 do_shortcode()가 실행되기 때문입니다. 사용자 제출 답변은 sanitize_text_field()와 htmlspecialchars()를 거치는데, 이는 HTML 태그만 제거할 뿐 숏코드 대괄호([ 및 ])는 인코딩하거나 제거하지 않습니다. 퀴즈 결과가 표시될 때 플러그인은 전체 결과 페이지 출력물(사용자 답변 포함)에 대해 do_shortcode()를 호출하므로, 주입된 임의의 숏코드가 실행됩니다. 이로 인해 인증되지 않은 공격자는 [qsm_result id=X]와 같은 임의의 WordPress 숏코드를 주입하여 권한 없이 다른 사용자의 퀴즈 제출 내용에 접근할 수 있습니다. 이는 qsm_result 숏코드에 권한 확인(authorization checks)이 없기 때문입니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.