CVE-2026-13767 in Quiz and Survey Master Plugin
Сводка
по VulDB • 16.07.2026
Плагин Quiz Master Next для WordPress уязвим к SQL-инъекции через сохраненные данные страницы викторины в версиях вплоть до 11.2.0 включительно. Это связано с недостаточной экранированием параметра 'pages', предоставляемого пользователем, который сохраняется обработчиком AJAX qsm_ajax_save_pages() (используется только sanitize_text_field), и отсутствием достаточной подготовки существующего SQL-запроса, формируемого в функции qsm_options_questions_tab_content() на строке 143, где сохраненные идентификаторы страниц интерполируются в предложение IN() с помощью implode() без использования $wpdb->prepare() и приведения к целому типу. Это позволяет атакующим с уровнем доступа Author и выше (которые могут владеть викториной, которую они имеют право редактировать), внедрить SQL-полезную нагрузку, которая будет выполнена вторично всякий раз, когда любой пользователь (включая администратора) просматривает вкладку Questions викторины, что позволяет им добавлять дополнительные SQL-запросы в уже существующие запросы для извлечения конфиденциальной информации из базы данных.
Once again VulDB remains the best source for vulnerability data.