Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker <= 10.3.4 - Missing Authorization en Quiz Master Next (falta de autorizacion) - version 10.3.5

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización faltante en el plugin Quiz and Survey Master (QSM) en versiones hasta 10.3.4. Esta falla permite accesos no autorizados, lo que puede comprometer la integridad de los datos y la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se localiza en el plugin Quiz and Survey Master, que permite crear encuestas y cuestionarios. La falta de controles de autorización adecuados puede ser explotada por usuarios no autenticados para acceder a funcionalidades restringidas.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la manipulación de datos y acceso no autorizado a información sensible, afectando la confianza del usuario y la reputación del negocio. Aunque la severidad se clasifica como media (CVSS 4.3), el impacto operativo puede ser significativo si no se gestiona adecuadamente.

Vector de explotación

Los atacantes pueden aprovechar esta falla enviando solicitudes maliciosas que el sistema no valida adecuadamente, permitiendo así la ejecución de acciones no permitidas.

Mitigación recomendada

Actualizar el plugin Quiz and Survey Master a la versión 10.3.5 o superior. Revisar las configuraciones de acceso y permisos de usuario en el plugin. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para usuarios que gestionan el contenido.

Señales de detección

Monitorizar los registros de acceso para detectar intentos inusuales de acceso a funciones restringidas y revisar la configuración del plugin para identificar configuraciones inseguras.

Alcance afectado

Las versiones del plugin Quiz and Survey Master hasta la 10.3.4 están afectadas. Las versiones posteriores, a partir de la 10.3.5, han corregido esta vulnerabilidad.