- Um bug de injeção de SQL foi encontrado nas versões 10.3.1 e posteriores do plugin QSM
- A vulnerabilidade pode permitir que usuários conectados (assinantes ou superiores) extraiam dados confidenciais do banco de dados
- Os administradores do WordPress solicitaram a atualização do QSM v10.3.2 ou posterior para mitigar o risco
Se o seu site estiver executando o plug-in Quiz and Survey Master WordPress, você pode querer atualizar para a versão mais recente ou correr o risco de um ataque cibernético.
O QSM permite que os usuários criem questionários, pesquisas e formulários sem código, com mais de 40.000 sites usando-o ativamente – mas recentemente, as versões 10.3.1 e anteriores foram consideradas vulneráveis a um bug de injeção de SQL que permitia que qualquer usuário logado inserisse comandos no banco de dados.
Um comunicado de segurança da Patchstack disse que isso significa que qualquer usuário com uma conta de “assinante” ou privilégio superior pode realizar uma ampla gama de ações indesejadas em sites vulneráveis, incluindo a exfiltração de dados.
Quantos sites estão vulneráveis?
Os usuários são aconselhados a atualizar para esta ou para uma versão mais recente o mais rápido possível. De acordo com o site oficial WordPress.org, a versão mais recente é 10.3.5.
Infelizmente, não há como saber exatamente quantos sites foram corrigidos e quantos permanecem vulneráveis. Os números oficiais mostram que uma pequena maioria – 52,1% – está executando a versão 10.3, o que significa que pelo menos 47,9% – o equivalente a 19.160 sites – estão definitivamente vulneráveis. Dos 39.980 restantes, alguns estão executando pelo menos a versão vulnerável 10.3.1.
No momento, não há evidências de que o bug esteja sendo explorado, mas dada a sua popularidade, é seguro assumir que os agentes da ameaça começarão a procurar sites que usam o QSM. O bug permanece como CVE-2025-67987 e foi corrigido na versão 10.3.2.
Como regra geral, os usuários do WordPress devem sempre manter sua plataforma de construção de sites atualizada, bem como os plugins e temas que utilizam. Os profissionais de segurança aconselham a exclusão completa de todos os plug-ins e temas que não são usados ativamente de seus servidores.
Através Revista de segurança da informação
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
