Vulnerabilidad en plugin Quiz and Survey Master (QSM) para WordPress (CVE-2026-2412)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
23/03/2026
Última modificación:
24/03/2026
Descripción
El plugin Quiz and Survey Master (QSM) para WordPress es vulnerable a inyección SQL a través del parámetro 'merged_question' en todas las versiones hasta la 10.3.5, inclusive. Esto se debe a una sanitización insuficiente de la entrada proporcionada por el usuario antes de ser utilizada en una consulta SQL. La función sanitize_text_field() aplicada al parámetro merged_question no evita que metacaracteres SQL como ), OR, AND y # se incluyan en el valor, el cual es luego concatenado directamente en una cláusula SQL IN() sin usar $wpdb->prepare() ni convertir valores a enteros. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, añadan consultas SQL adicionales en consultas ya existentes que pueden ser utilizadas para extraer información sensible de la base de datos.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/quiz-master-next/tags/10.3.5/php/classes/class-qsm-questions.php#L387
- https://plugins.trac.wordpress.org/browser/quiz-master-next/tags/10.3.5/php/rest-api.php#L760
- https://plugins.trac.wordpress.org/changeset/3486710/quiz-master-next/trunk/php/classes/class-qsm-questions.php
- https://plugins.trac.wordpress.org/changeset/3486710/quiz-master-next/trunk/php/rest-api.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/b32bf1cb-3722-41fc-be51-dabe80416b14?source=cve