Resumen ejecutivo
Se ha identificado una vulnerabilidad crítica en el plugin Quiz And Survey Master, que permite inyección SQL autenticada a través de un shortcode. La gravedad de esta vulnerabilidad se clasifica como alta, con un CVSS de 8.8.
Fuente base de datos: Wordfence Intelligence
Quiz And Survey Master <= 7.1.11 - Authenticated SQL injection via shortcode
PLUGIN
HIGH
CVE-2021-24221
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en el manejo inadecuado de entradas en los shortcodes del plugin, lo que permite a un usuario autenticado ejecutar consultas SQL maliciosas. Esto amplía la superficie de ataque, ya que cualquier usuario con acceso al sistema puede potencialmente aprovechar esta debilidad.
Impacto potencial
La explotación de esta vulnerabilidad podría permitir a un atacante acceder a datos sensibles, modificar contenido de la base de datos o incluso comprometer la integridad del sitio. Esto puede resultar en daños a la reputación y pérdidas financieras para las organizaciones afectadas.
Vector de explotación
Generalmente, la explotación se realiza a través de un shortcode malicioso insertado en una entrada o página, que es procesado por el plugin, permitiendo al atacante ejecutar comandos SQL no autorizados.
Mitigación recomendada
Para mitigar este riesgo, se recomienda actualizar el plugin Quiz And Survey Master a la versión 7.1.12 o superior. Además, se sugiere realizar una revisión de los permisos de usuario y aplicar medidas de seguridad adicionales, como el uso de firewalls y escáneres de vulnerabilidades.
Señales de detección
Señales de posible explotación incluyen actividades inusuales en la base de datos, como consultas no autorizadas o cambios inesperados en los registros. También se deben monitorizar los logs de acceso para detectar patrones sospechosos.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin Quiz And Survey Master hasta la 7.1.11. La vulnerabilidad fue corregida en la versión 7.1.12, publicada el 26 de marzo de 2021.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
quiz-master-next
Quiz and Survey Master (QSM) <= 10.3.5 - Authenticated (Contributor+) SQL Injection via 'merged_question' Parameter
MEDIUM
PLUGIN
quiz-master-next
Quiz And Survey Master <= 10.3.1 - Authenticated (Subscriber+) SQL Injection
MEDIUM
PLUGIN
quiz-master-next
Quiz and Survey Master (QSM) <= 10.3.1 - Authenticated (Subscriber+) SQL Injection via `is_linking` Query Parameter
MEDIUM
PLUGIN
quiz-master-next
Quiz And Survey Master <= 10.2.4 - Authenticated (Contributor+) SQL Injection
CRITICAL
PLUGIN
quiz-master-next
Quiz And Survey Master – Best Quiz, Exam and Survey Plugin for WordPress <= 9.0.1 - Authenticated (Contributor+) SQL Injection
CRITICAL
PLUGIN
quiz-master-next
Quiz and Survey Master <= 8.1.4 - Unauthenticated SQL Injection
HIGH
PLUGIN
quiz-master-next
Quiz And Survey Master <= 7.3.4 - Authenticated (Administrator+) SQL Injection
MEDIUM
PLUGIN
quiz-master-next
Quiz and Survey Master <= 7.1.13 - SQL Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto