Chained Quiz 1.3.5 anfällig für unauthentifizierten IDOR durch Cookie-Manipulation

Unauthentifizierte IDOR-Schwachstelle in Chained Quiz 1.3.5 entdeckt

Sicherheitsforscher haben eine unauthentifizierte Insecure Direct Object Reference (IDOR)-Schwachstelle in Chained Quiz 1.3.5, einem beliebten Quiz-Management-Plugin, identifiziert. Die Sicherheitslücke, dokumentiert unter Exploit-DB ID 52464, ermöglicht Angreifern den Zugriff auf sensible Daten ohne Authentifizierung durch Manipulation von Cookies.

Technische Details

Die Schwachstelle resultiert aus unzureichenden Zugriffskontrollen im Cookie-Handling-Mechanismus des Plugins. Angreifer können diese ausnutzen, indem sie Cookie-Werte manipulieren, um die Authentifizierung zu umgehen und direkt auf Objekte wie Benutzerdaten oder Quiz-Ergebnisse zuzugreifen – ohne entsprechende Berechtigung. Da für den Exploit keine vorherige Authentifizierung erforderlich ist, stellt er ein besonders hohes Risiko für betroffene Installationen dar.

Auswirkungen

Organisationen, die Chained Quiz 1.3.5 einsetzen, sind einem Risiko des unautorisierten Datenabflusses ausgesetzt, darunter:

• Benutzer-Quiz-Einsendungen
• Personenbezogene Daten (PII)
• Administrative Quiz-Konfigurationen

Die Schwachstelle wird aufgrund ihres unauthentifizierten Charakters und des Potenzials für Datenlecks als hochkritisch eingestuft. Zum Zeitpunkt der Veröffentlichung wurde noch keine CVE-ID zugewiesen.

Empfehlungen

• Sofortiges Upgrade auf die neueste gepatchte Version von Chained Quiz, sofern verfügbar.
• Überprüfung von Quiz-Plugins auf ähnliche Schwachstellen in den Zugriffskontrollen.
• Protokollierung überwachen auf ungewöhnliche Cookie-Manipulationsversuche.
• Zugriff auf das Plugin einschränken bis ein Fix implementiert ist.

Weitere Details finden Sie im originalen Exploit-Nachweis auf Exploit-DB.