Fuente base de datos: Wordfence Intelligence

Quiz And Survey Master <= 7.1.17 - Reflected Cross-Site Scripting

PLUGIN MEDIUM CVE-2021-24368

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz And Survey Master en versiones hasta la 7.1.17. Este fallo puede ser explotado para inyectar scripts maliciosos en el navegador de los usuarios afectados.

Contexto técnico

La vulnerabilidad se manifiesta a través de la inadecuada validación de entradas, permitiendo que un atacante refleje código JavaScript en las respuestas de los cuestionarios. Esto crea una superficie de ataque donde los usuarios pueden ser engañados para ejecutar código no autorizado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar cookies de sesión, redirigir a los usuarios a sitios maliciosos o ejecutar acciones no deseadas en nombre de los usuarios. Esto podría comprometer la integridad y la confianza en la plataforma.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces manipulados a los usuarios, que al hacer clic pueden ejecutar el código malicioso inyectado en el cuestionario.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 7.1.18 o superior. Además, se debe implementar una revisión de las entradas de los usuarios y aplicar medidas de seguridad adicionales como Content Security Policy (CSP).

Señales de detección

Señales de riesgo incluyen reportes de comportamientos inusuales en los formularios de cuestionarios, quejas de usuarios sobre redirecciones inesperadas o la aparición de scripts no autorizados en el código fuente de la página.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 7.1.18 del plugin Quiz And Survey Master.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

quiz-master-next