CVE-2026-6448

Nome do Software Vulnerável e Versões Afetadas Quiz and Survey Master (QSM) – Easy Quiz and Survey Maker versões anteriores a 11.1.3

Descrição O plugin é suscetível a SQL Injection cego baseado em tempo, uma técnica onde um invasor faz perguntas de verdadeiro/falso ao banco de dados e determina a resposta com base no tempo que o servidor leva para responder. Isso ocorre devido à limpeza insuficiente de parâmetros fornecidos pelo usuário e à falta de preparação adequada da consulta SQL. Atacantes autenticados com acesso de nível de administrador ou superior podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados através do parâmetro order. Se a chave secreta for exposta, usuários com privilégios inferiores também podem explorar este problema.

Recomendações Atualize o plugin para uma versão posterior a 11.1.2. Como mitigação temporária, restrinja o acesso ao parâmetro order para minimizar o risco de exploração.