Fuente base de datos: Wordfence Intelligence

SupportCandy – Helpdesk & Customer Support Ticket System <= 3.4.4 - Missing Authorization (falta de autorizacion) - version 3.4.5

PLUGIN MEDIUM CVE-2026-25321

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad en el plugin SupportCandy, que permite la falta de autorización en ciertas acciones. Esto puede comprometer la seguridad de los datos de los usuarios y la integridad del sistema operativo.

Contexto técnico

La vulnerabilidad se encuentra en el sistema de gestión de tickets del plugin SupportCandy, afectando a las versiones hasta la 3.4.4. La falta de controles de autorización adecuados permite a usuarios no autenticados realizar acciones restringidas.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir el acceso no autorizado a información sensible y la posibilidad de manipulación de datos. Esto puede resultar en daños a la reputación de la empresa y pérdida de confianza por parte de los clientes.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que no requieren autenticación previa, lo que les permite ejecutar acciones no autorizadas en el sistema.

Mitigación recomendada

Actualizar el plugin SupportCandy a la versión 3.4.5 o superior. Revisar los registros de acceso para identificar actividades inusuales. Implementar controles adicionales de seguridad, como autenticación multifactor.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a funciones administrativas y registros de errores inusuales relacionados con el plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.4.5. Se recomienda a los usuarios de versiones anteriores que actualicen inmediatamente.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

supportcandy