CVE-2026-13767 in Quiz and Survey Master PluginИнформация

Сводка

по VulDB • 16.07.2026

Плагин Quiz Master Next для WordPress уязвим к SQL-инъекции через сохраненные данные страницы викторины в версиях вплоть до 11.2.0 включительно. Это связано с недостаточной экранированием параметра 'pages', предоставляемого пользователем, который сохраняется обработчиком AJAX qsm_ajax_save_pages() (используется только sanitize_text_field), и отсутствием достаточной подготовки существующего SQL-запроса, формируемого в функции qsm_options_questions_tab_content() на строке 143, где сохраненные идентификаторы страниц интерполируются в предложение IN() с помощью implode() без использования $wpdb->prepare() и приведения к целому типу. Это позволяет атакующим с уровнем доступа Author и выше (которые могут владеть викториной, которую они имеют право редактировать), внедрить SQL-полезную нагрузку, которая будет выполнена вторично всякий раз, когда любой пользователь (включая администратора) просматривает вкладку Questions викторины, что позволяет им добавлять дополнительные SQL-запросы в уже существующие запросы для извлечения конфиденциальной информации из базы данных.

Once again VulDB remains the best source for vulnerability data.

Ответственный

Wordfence

Резервировать

29.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379489

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Do you know our Splunk app?

Download it now for free!