- Foi encontrada uma falha de injeção de SQL nas versões 10.3.1 e inferiores do plugin QSM
- A vulnerabilidade permite que usuários logados (assinantes ou superiores) extraiam dados confidenciais do banco de dados
- Os administradores do WordPress são incentivados a atualizar o QSM para v10.3.2 ou mais recente para mitigar riscos
Se o seu site estiver executando o Quiz and Survey Master Plug-in WordPressvocê pode querer atualizá-lo para a versão mais recente ou arriscar um possível ataque cibernético.
O QSM permite que os usuários criem questionários, pesquisas e formulários sem codificação, com mais de 40.000 sites usando-o ativamente – mas recentemente foi descoberto que as versões 10.3.1 e anteriores eram vulneráveis a uma falha de injeção de SQL que permitia que qualquer usuário logado injetasse comandos no banco de dados.
Um comunicado de segurança da Patchstack observou que isso significa que qualquer usuário com uma conta de “assinante” ou com privilégios mais elevados pode realizar uma ampla gama de ações indesejadas em sites vulneráveis, incluindo exfiltração de dados.
Quantos sites estão vulneráveis?
Os usuários são aconselhados a atualizar para esta ou qualquer versão mais recente o mais rápido possível. De acordo com dados do site oficial WordPress.org, a versão mais recente é 10.3.5.
Infelizmente, não há como saber exatamente quantos sites foram corrigidos e quantos permanecem vulneráveis. Os números oficiais mostram que uma pequena maioria – 52,1% – está executando a versão 10.3, o que significa que pelo menos 47,9% – o que equivale a 19.160 sites – estão definitivamente vulneráveis. Dos 39.980 restantes, pelo menos alguns estão executando a versão vulnerável 10.3.1.
No momento, não há evidências de abuso da falha, mas dada a sua popularidade, é seguro assumir que os agentes da ameaça começarão agora a procurar sites usando o QSM. O bug agora é rastreado como CVE-2025-67987 e foi corrigido na versão 10.3.2.
Como regra geral, os usuários do WordPress devem sempre manter seus construtor de sites plataformas atualizadas, bem como quaisquer plug-ins e temas que estejam usando. Os profissionais de segurança também aconselham que todos os plug-ins e temas que não estejam sendo usados ativamente sejam totalmente excluídos dos servidores.
Através Revista Infosegurança
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.