Quiz and Survey Master (QSM) <= 9.1.2 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz and Survey Master (QSM) en versiones hasta la 9.1.2. Esta vulnerabilidad permite la ejecución de scripts maliciosos en el contexto del usuario autenticado con privilegios de administrador.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de los usuarios, permitiendo que se almacenen scripts maliciosos que se ejecutan en el navegador de otros usuarios. Esto afecta principalmente a los administradores que gestionan encuestas y cuestionarios a través del plugin.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute código JavaScript no autorizado en el navegador de los administradores, lo que podría comprometer la integridad del sitio, robar información sensible o realizar acciones no autorizadas en nombre del usuario afectado.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando entradas maliciosas a través de formularios del plugin, que son luego almacenadas y ejecutadas en el navegador de otros administradores que acceden a la misma información.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Quiz and Survey Master a la versión 9.1.3 o posterior. Además, se debe revisar y sanitizar adecuadamente todas las entradas de usuario y aplicar políticas de seguridad como Content Security Policy (CSP).

Señales de detección

Se pueden detectar intentos de explotación observando entradas inusuales en los formularios del plugin, así como cualquier actividad sospechosa en las sesiones de los administradores que pudiera indicar ejecución de scripts no autorizados.

Alcance afectado

Las versiones del plugin Quiz and Survey Master hasta la 9.1.2 son las afectadas. Las instalaciones que no han actualizado a la versión 9.1.3 o superior están en riesgo.