Quiz and Survey Master (QSM) <= 11.1.2 - Authenticated (Admin+) SQL Injection via 'order' and 'limit' Parameters en Quiz Master Next (inyeccion SQL) - version 11.1.3

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Quiz and Survey Master (QSM) hasta la versión 11.1.2. Este fallo permite a administradores autenticados ejecutar consultas SQL maliciosas, lo que puede comprometer la integridad de la base de datos.

Contexto técnico

El fallo se presenta a través de los parámetros 'order' y 'limit' en las solicitudes, exponiendo la superficie de ataque a administradores que puedan manipular estos parámetros. La vulnerabilidad se clasifica como inyección SQL (SQLi), permitiendo la ejecución de comandos SQL no autorizados.

Impacto potencial

El impacto en la seguridad puede resultar en la exposición de datos sensibles y manipulación de la base de datos, afectando la confianza del usuario y la integridad del sistema. Aunque se considera de severidad media, su explotación podría tener consecuencias graves si no se mitiga adecuadamente.

Vector de explotación

La explotación de esta vulnerabilidad requiere que un usuario con privilegios de administrador envíe solicitudes manipuladas que incluyan los parámetros vulnerables, permitiendo así la ejecución de consultas SQL maliciosas.

Mitigación recomendada

Actualizar el plugin Quiz and Survey Master a la versión 11.1.3 o superior. Revisar los registros de actividad para detectar accesos no autorizados o actividades sospechosas. Implementar medidas de seguridad adicionales, como la validación de entradas y la restricción de permisos de usuario.

Señales de detección

Señales de alerta incluyen entradas inusuales en los registros de acceso, intentos de modificación de parámetros 'order' y 'limit', así como errores SQL en los logs del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 11.1.3 del plugin Quiz and Survey Master. No se han confirmado casos en versiones posteriores.