למעלה מ- 40,000 אתרי וורדפרס המשתמשים בתוסף Quiz and Survey Master נפגעו מהזרקת SQL אשר אפשרה למשתמשים מאומתים לשבש שאילתות מסד נתונים. פלאגין Quiz and Survey Master, הידוע גם בשם QSM, נמצא בשימוש נרחב של משתמשי וורדפרס ליצירת חידונים, סקרים וטפסים. מערך התכונות שלו כולל תמיכה במולטימדיה ובניית חידונים – מה שתרם לבסיס ההתקנות הגדול שלו. פגם האבטחה נמצא בגרסאות 10.3.1 וגרסאות קודמות והוא היה ניתן לניצול על ידי כל משתמש מחובר בעל הרשאות ברמת מנוי ומעלה – מה שהגדיל את הסיכון לגישה בלתי מורשית לנתונים. פגיעות האבטחה לא דרשה גישת ניהול, כלומר מגוון רחב של חשבונות משתמשים יכלו להיות מנוצלים לרעה כדי להפעיל את פגם האבטחה.
פגיעות האבטחה אותרה בפונקציית REST API האחראית על אחזור נתוני שאלות בוחן. פרמטר בקשה בשם is_linking הונח כמזהה מספרי והוכנס לשאילתת מסד נתונים ללא אימות נאות. לא בוצע ניקוי לפני שהערך שולב עם מזהי שאלות אחרים והופעל כחלק ממשפט SQL. גישה זו אפשרה למשתמש זדוני לספק קלט בעל מבנה מיוחד המכיל פקודות SQL נוספות. מכיוון שהשאילתה לא נבנתה באמצעות משפט מוכן, היה מסד הנתונים מעבד את התוכן שהוזרק כחלק מהשאילתה עצמה ופותח את הדלת לגניבת מידע או פעולות זדוניות אחרות. למרות שאין אינדיקציה לכך שפגיעות האבטחה נוצלה באופן פעיל, מדגישה נוכחותה את הסיכונים הכרוכים באמון בנתוני בקשה, גם כאשר הם אינם מיועדים להיות נשלטים ישירות על ידי משתמשים.
בהודעה שפורסמה על ידי Patchstack נאמר שהפגיעות תוקנה בפלאגין Quiz and Survey Master גרסה 10.3.2. העדכון פותר את בעיית האבטחה על ידי אילוץ המרה של הפרמטר is_linking למספר שלם באמצעות intval, מה שמבטיח שרק ערכים מספריים יעובדו על ידי שאילתת מסד הנתונים. אירוע זה מחזק את החשיבות של אימות קלט והשימוש בפקודות מוכנות בעת טיפול בשאילתות מסד נתונים בתוספי וורדפרס.
