Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Quiz and Survey Master (QSM) <= 11.1.4 - Missing Authorization to Authenticated (Contributor+) Arbitrary Quiz Modification and Email Reroute via Leaked Nonce from /quiz/structure en Quiz Master Next (falta de autorizacion) - version 11.1.5

PLUGIN MEDIUM CVE-2026-9230

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Quiz and Survey Master (QSM) en versiones hasta 11.1.4, que permite la modificación arbitraria de cuestionarios. Este fallo puede comprometer la integridad de los datos y la seguridad del sitio, afectando su operativa.

Contexto técnico

El fallo se origina en una falta de autorización para usuarios autenticados con rol de colaborador o superior, lo que permite realizar modificaciones no autorizadas en los cuestionarios mediante un nonce filtrado en la ruta /quiz/structure.

Impacto potencial

El impacto en el negocio puede incluir la alteración de cuestionarios y encuestas, lo que puede llevar a la pérdida de confianza de los usuarios y a la manipulación de resultados. La seguridad del sitio se ve comprometida, potencialmente facilitando ataques adicionales.

Vector de explotación

La explotación se lleva a cabo mediante el uso de un nonce filtrado, permitiendo a un atacante autenticado modificar cuestionarios sin los permisos adecuados.

Mitigación recomendada

Actualizar el plugin Quiz and Survey Master a la versión 11.1.5 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y roles para asegurar que solo los usuarios autorizados puedan realizar modificaciones. Implementar medidas de seguridad adicionales, como la validación de nonces y la auditoría de cambios en cuestionarios.

Señales de detección

Revisar los logs de acceso para detectar modificaciones inusuales en cuestionarios y alertas de usuarios con permisos elevados realizando cambios no autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 11.1.5 del plugin Quiz and Survey Master. No se han confirmado otros escenarios de explotación.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) <= 11.1.4 - Missing Authorization to Authenticated (Contributor+) Arbitrary Modification via qsm_insert_quiz_template AJAX Action

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) <= 11.1.2 - Authenticated (Admin+) SQL Injection via 'order' and 'limit' Parameters

HIGH PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker <= 11.1.2 - Unauthenticated Stored Cross-Site Scripting

HIGH PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker <= 11.0.0 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) <= 11.1.0 - Unauthenticated Shortcode Injection Leading to Arbitrary Quiz Result Disclosure via Quiz Answer Text Input Fields

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) <= 10.3.5 - Authenticated (Contributor+) SQL Injection via 'merged_question' Parameter

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker <= 10.3.4 - Missing Authorization

MEDIUM PLUGIN

quiz-master-next

Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker <= 10.3.4 - Unauthenticated Insecure Direct Object Reference

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad