ELEX WordPress HelpDesk & Customer Ticketing System <= 3.3.1 - Missing Authorization to Authenticated (Subscriber+) Trash Empty

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin ELEX WordPress HelpDesk & Customer Ticketing System, que afecta a las versiones hasta la 3.3.1. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior vaciar la papelera sin la debida autorización.

Contexto técnico

El fallo se origina por la falta de controles de autorización adecuados en la funcionalidad de vaciado de la papelera. Esto permite que usuarios con privilegios limitados puedan realizar acciones que deberían estar restringidas a roles con mayores permisos.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la eliminación no autorizada de tickets de soporte, lo que podría afectar la operativa del servicio al cliente y la gestión de incidencias. Esto puede resultar en una pérdida de datos y en la disminución de la confianza de los clientes.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la manipulación de solicitudes HTTP que permiten a los usuarios autenticados ejecutar acciones no autorizadas, como vaciar la papelera de tickets.

Mitigación recomendada

Actualizar el plugin ELEX WordPress HelpDesk & Customer Ticketing System a la versión 3.3.2 o superior. Además, se recomienda revisar los permisos de los roles de usuario y aplicar medidas de seguridad adicionales para limitar el acceso a funciones críticas.

Señales de detección

Se deben monitorizar los registros de actividad del plugin para detectar intentos inusuales de vaciado de la papelera por parte de usuarios con roles de bajo privilegio, así como cualquier modificación no autorizada en los tickets.

Alcance afectado

Las versiones del plugin ELEX WordPress HelpDesk & Customer Ticketing System hasta la 3.3.1 son las afectadas. La vulnerabilidad fue corregida en la versión 3.3.2, publicada el 20 de noviembre de 2025.