Quiz And Survey Master <= 8.1.10 - Authenticated (Contributor+) Stored Cross-Site Scripting via Question Title

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz And Survey Master, que afecta a las versiones hasta la 8.1.10. Esta falla permite la inyección de scripts maliciosos a través del título de las preguntas por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de los datos introducidos en el título de las preguntas. Esto permite que un atacante autenticado pueda insertar código JavaScript que se ejecutará en el navegador de otros usuarios, comprometiendo así la seguridad de la aplicación.

Impacto potencial

El impacto puede incluir el robo de información sensible, la manipulación de sesiones de usuario y la posible distribución de malware, lo que puede afectar la reputación y confianza en la plataforma, además de implicaciones legales en caso de filtraciones de datos.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación o modificación de preguntas en el plugin por parte de un usuario con permisos de colaborador o superior, insertando código malicioso en el título que se ejecutará al visualizar la pregunta.

Mitigación recomendada

Actualizar el plugin Quiz And Survey Master a la versión 8.1.11 o superior. Además, se recomienda implementar medidas de validación y sanitización de entradas en formularios para prevenir inyecciones XSS en el futuro.

Señales de detección

Señales de explotación pueden incluir comportamientos inusuales en los registros de acceso, como la ejecución de scripts no autorizados en el navegador de usuarios o reportes de comportamientos extraños en la interfaz del plugin.

Alcance afectado

Las versiones del plugin Quiz And Survey Master hasta la 8.1.10 son vulnerables. Se debe verificar la instalación del plugin en el sitio para determinar si está en uso una versión afectada.