CVE-2026-13767 in Quiz and Survey Master Plugin
Sumário
de VulDB • 16/07/2026
O plugin Quiz Master Next para WordPress é vulnerável a Injeção de SQL por meio dos dados da página do questionário armazenados nas versões até 11.2.0, inclusive. Isso ocorre devido à falta de escape adequado no parâmetro 'pages' fornecido pelo usuário e persistido pelo manipulador AJAX qsm_ajax_save_pages() (apenas sanitize_text_field) e à ausência de preparação adequada na consulta SQL existente construída em qsm_options_questions_tab_content(), na linha 143, onde os IDs das páginas armazenados são interpolados em uma cláusula IN() por meio da função implode(), sem uso de $wpdb->prepare() ou conversão explícita para inteiro. Isso permite que atacantes autenticados com acesso nível Autor e superior (que podem ser proprietários de um questionário do qual têm permissão para editar) injetem uma carga útil SQL que será executada em segundo plano sempre que qualquer usuário, incluindo administradores, visualizar a aba Perguntas do questionário, permitindo-lhes adicionar consultas SQL adicionais às já existentes, o que pode ser utilizado para extrair informações sensíveis do banco de dados.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.