CVE-2026-6448
ŚrednieCVSS 4.9Streszczenie
Wtyczka Quiz and Survey Master (QSM) dla WordPressa jest podatna na atak typu time-based blind SQL Injection poprzez parametr 'order' w wersjach do 11.1.2 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Ocena ryzyka
Atakujący z dostępem na poziomie administratora może wstrzykiwać dodatkowe zapytania SQL, co pozwala na wyciąganie wrażliwych informacji z bazy danych. W przypadku ujawnienia klucza tajnego, podatność może być wykorzystana przez użytkowników o niższych uprawnieniach.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy monitorować dostęp do bazy danych oraz stosować odpowiednie środki zabezpieczające.
Oryginalny opis (angielski, źródło NVD)
The Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker plugin for WordPress is vulnerable to time-based blind SQL Injection via the 'order' parameter in all versions up to, and including, 11.1.2 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with admin-level access and above, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database. If the secret key is exposed, this can be exploited by lower-privileged users.

