CVE-2026-5797

Name of the Vulnerable Software and Affected Versions Quiz And Survey Master versões anteriores a 11.1.1

Description A sanitização insuficiente de entrada permite a execução arbitrária de shortcodes. O problema ocorre porque o texto de resposta do quiz enviado pelo usuário é processado por sanitize text field() e htmlspecialchars(), que removem tags HTML, mas não codificam ou removem os colchetes de shortcode. Quando os resultados do quiz são exibidos, o plugin utiliza a função do shortcode() na saída, executando quaisquer shortcodes injetados. Atacantes não autenticados podem usar isso para injetar shortcodes como '[qsm result id=X]' para acessar envios de quiz de outros usuários sem autorização, já que o shortcode qsm result não realiza verificações de autorização.

Recommendations Atualize para uma versão posterior a 11.1.0.