Katalog CVE

CVE-2026-9233

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Wtyczka Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 11.1.4 włącznie. Podatność wynika z niewłaściwego weryfikowania uprawnień użytkownika przed wykonaniem akcji, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym na tworzenie, modyfikowanie i usuwanie szablonów wyników quizów w tabeli bazy danych mlw_quiz_output_templates, w tym przechowywanie niesanityzowanego kodu HTML, takiego jak dowolne znaczniki skryptów.

Ocena ryzyka

Organizacja narażona jest na ryzyko przejęcia kont użytkowników, kradzieży danych lub wstrzyknięcia złośliwego kodu JavaScript (XSS) poprzez nieautoryzowane modyfikacje szablonów wyników quizów, co może prowadzić do naruszenia integralności i poufności danych.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Quiz and Survey Master do wersji 11.1.5 lub nowszej, która zawiera poprawkę usuwającą podatność na obejście autoryzacji.

Oryginalny opis (angielski, źródło NVD)

The Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 11.1.4. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with contributor-level access and above, to create, modify, and delete quiz output templates stored in the mlw_quiz_output_templates database table, including storing unsanitized HTML content such as arbitrary script tags.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS