Quiz and Survey Master <= 9.0.4 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz and Survey Master en versiones hasta 9.0.4. Esta falla permite que usuarios autenticados con rol de colaborador o superior inyecten scripts maliciosos en el contenido almacenado.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin maneja las entradas de los usuarios, permitiendo la inyección de código JavaScript en las respuestas de los cuestionarios. Esto se traduce en un riesgo de ejecución de scripts en el navegador de otros usuarios que visualicen dicho contenido.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, como cookies de sesión, o realice acciones no autorizadas en nombre de otros usuarios, lo que puede comprometer la integridad de la plataforma y la confianza del usuario.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la creación de un cuestionario o encuesta que contenga scripts maliciosos, los cuales son ejecutados cuando otros usuarios visualizan el contenido afectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Quiz and Survey Master a la versión 9.0.5 o superior. Además, se sugiere revisar las configuraciones de permisos de usuario y aplicar medidas de validación y saneamiento de entradas.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en las respuestas de los cuestionarios o comportamientos inusuales en la interacción de los usuarios con el sitio web.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Quiz and Survey Master hasta la 9.0.4. Se debe verificar la instalación de este plugin en todas las instancias de WordPress que utilicen esta herramienta.