Quiz and Survey Master (QSM) <= 9.2.0 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz and Survey Master (QSM) en versiones anteriores a la 9.2.1. Esta vulnerabilidad permite a usuarios autenticados con privilegios de administrador ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

La vulnerabilidad se presenta en el manejo de datos de entrada que no son correctamente sanitizados, lo que permite la inyección de código JavaScript malicioso. Esto afecta a la superficie de ataque donde los administradores gestionan encuestas y cuestionarios, exponiendo a los usuarios que interactúan con estos elementos.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, como cookies de sesión, o realice acciones no autorizadas en nombre de otros usuarios. Esto puede comprometer la integridad del sitio y dañar la confianza de los usuarios.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante la creación de contenido malicioso que es enviado a través de formularios o configuraciones del plugin, que luego es visualizado por otros usuarios sin el debido filtrado de seguridad.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 9.2.1 o superior. Además, se sugiere revisar y sanitizar adecuadamente todos los datos de entrada en el plugin y habilitar medidas de seguridad adicionales como Content Security Policy (CSP).

Señales de detección

Señales a tener en cuenta incluyen comportamientos inusuales en la interacción de los usuarios con el plugin, así como la aparición de scripts no autorizados en las páginas generadas por el plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 9.2.1 del plugin Quiz and Survey Master.