Quiz And Survey Master – Best Quiz, Exam and Survey Plugin for WordPress <= 7.3.4 - Insecure Direct Object Reference

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Quiz And Survey Master para WordPress, que afecta a las versiones hasta la 7.3.4. Esta vulnerabilidad permite el acceso no autorizado a objetos directos, lo que puede comprometer la seguridad de los datos del usuario.

Contexto técnico

La vulnerabilidad se basa en una referencia directa a objetos inseguros, lo que permite a un atacante acceder a recursos que deberían estar protegidos. Esto ocurre cuando el plugin no valida adecuadamente las solicitudes que acceden a ciertos objetos, permitiendo así la manipulación de parámetros en las peticiones.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que un atacante podría obtener acceso a información sensible o realizar acciones no autorizadas en nombre de otros usuarios. Esto podría dañar la reputación del negocio y comprometer la integridad de los datos.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad manipulando los parámetros de las solicitudes HTTP para acceder a objetos que no deberían ser accesibles, como cuestionarios o resultados de encuestas de otros usuarios.

Mitigación recomendada

Se recomienda actualizar el plugin Quiz And Survey Master a la versión 7.3.5 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere realizar una auditoría de seguridad de los permisos de acceso a los objetos dentro de la aplicación.

Señales de detección

Se deben monitorizar los registros de acceso para detectar patrones inusuales de acceso a recursos sensibles. También se pueden establecer alertas para intentos de acceso a objetos que no correspondan al usuario autenticado.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Quiz And Survey Master hasta la 7.3.4. Las instalaciones que no han actualizado a la versión 7.3.5 están en riesgo.