The Quiz And Survey Master plugin for WordPress is vulnerable to Arbitrary Shortcode Execution in versions up to and including 11.1.0. This is due to insufficient input sanitization and the execution of do_shortcode() on user-submitted quiz answer text. User-submitted answers pass through sanitize_text_field() and htmlspecialchars(), which only strip HTML tags but do not encode or remove shortcode brackets [ and ]. When quiz results are displayed, the plugin calls do_shortcode() on the entire results page output (including user answers), causing any injected shortcodes to be executed. This makes it possible for unauthenticated attackers to inject arbitrary WordPress shortcodes such as [qsm_result id=X] to access other users' quiz submissions without authorization, as the qsm_result shortcode lacks any authorization checks.
The Quiz And Survey Master WordPress plugin up to version 11.1.0 is vulnerable to arbitrary shortcode execution due to insufficient input sanitization of user-submitted quiz answers. Unauthenticated attackers can inject malicious shortcodes to access other users' quiz submissions and sensitive data without authorization.
يحتوي مكون Quiz And Survey Master للإصدارات حتى 11.1.0 على ثغرة في معالجة مدخلات المستخدمين حيث لا يتم ترميز أقواس الرموز المختصرة بشكل صحيح. عند عرض نتائج الاختبار، يقوم المكون بتنفيذ جميع الرموز المختصرة بما في ذلك تلك المحقونة من قبل المهاجمين. يمكن للمهاجمين غير المصرح لهم استخدام رموز مختصرة مثل [qsm_result] للوصول إلى بيانات المستخدمين الأخرى دون تفويض.
The Quiz And Survey Master WordPress plugin up to version 11.1.0 is vulnerable to arbitrary shortcode execution due to insufficient input sanitization of user-submitted quiz answers. Unauthenticated attackers can inject malicious shortcodes to access other users' quiz submissions and sensitive data without authorization.
Update the Quiz And Survey Master plugin to version 11.1.1 or later immediately. Implement additional input validation to prevent shortcode bracket injection. Apply WordPress security best practices including capability checks for the qsm_result shortcode. Consider using alternative sanitization methods that specifically encode or remove shortcode syntax.
قم بتحديث مكون Quiz And Survey Master إلى الإصدار 11.1.1 أو أحدث فوراً. طبق التحقق الإضافي من المدخلات لمنع حقن أقواس الرموز المختصرة. طبق أفضل الممارسات الأمنية في WordPress بما في ذلك فحوصات الصلاحيات لرمز qsm_result المختصر. فكر في استخدام طرق تنظيف بديلة تقوم بترميز أو إزالة بناء جملة الرموز المختصرة.