Quiz and Survey Master (QSM) <= 10.3.1 - Missing Authorization to Unpublished, Private And Password-Protected Quiz Information Disclosure And Image Response Uploads

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación en el plugin Quiz and Survey Master (QSM) en versiones hasta la 10.3.1. Esta falla permite el acceso no autorizado a información de cuestionarios no publicados, privados y protegidos por contraseña.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada al acceder a datos sensibles de cuestionarios. Los atacantes pueden obtener información confidencial y subir respuestas de imágenes sin la debida validación de permisos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la divulgación de información privada, lo que podría comprometer la integridad de los datos y la confianza del usuario en la plataforma. Esto podría resultar en daños reputacionales y posibles repercusiones legales.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad al acceder a URLs específicas que no requieren autenticación, lo que les permite obtener información sensible y subir contenido malicioso.

Mitigación recomendada

Se recomienda actualizar el plugin Quiz and Survey Master a la versión 10.3.2 o superior. Además, se sugiere revisar las configuraciones de permisos y asegurarse de que solo los usuarios autorizados tengan acceso a cuestionarios privados y protegidos.

Señales de detección

Señales de explotación pueden incluir accesos no autorizados a cuestionarios privados en los registros del servidor y actividad inusual en la subida de imágenes desde cuentas no verificadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 10.3.2 del plugin Quiz and Survey Master.