Fuente base de datos: Wordfence Intelligence

Firebase Support & Chat Management <= 3.1.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation en Admin Chat BOX (escalada de privilegios) - version 3.1.2

PLUGIN HIGH CVE-2026-8787

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Firebase Support & Chat Management, que permite a usuarios autenticados con privilegios de suscriptor escalar sus permisos. Esto puede comprometer la integridad de la gestión de chat y soporte en el sitio web.

Contexto técnico

La vulnerabilidad se origina en una falta de autorización adecuada que permite a los suscriptores acceder a funcionalidades reservadas para usuarios con mayores privilegios. El vector de ataque se centra en la interacción con el plugin en versiones 3.1.1 y anteriores.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a usuarios malintencionados obtener acceso no autorizado a funciones críticas, afectando la seguridad general del sitio y la confianza del usuario. Esto podría resultar en una pérdida de datos o en la manipulación de la información del chat.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante la autenticación como suscriptor y realizar solicitudes que deberían estar restringidas a roles superiores.

Mitigación recomendada

Actualizar el plugin Firebase Support & Chat Management a la versión más reciente que corrija esta vulnerabilidad. Revisar y ajustar los permisos de usuario en el sistema para asegurar que los roles están correctamente configurados. Realizar auditorías de seguridad periódicas para identificar y mitigar riesgos similares.

Señales de detección

Monitorear los registros de acceso para detectar intentos inusuales de acceso a funciones administrativas por parte de usuarios con privilegios de suscriptor.

Alcance afectado

Las versiones del plugin Firebase Support & Chat Management hasta la 3.1.1 están afectadas. No se han confirmado otros escenarios de explotación más allá de esta versión.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

doctreat_core

Doctreat Core <= 1.6.8 - Unauthenticated Privilege Escalation

HIGH PLUGIN

events-for-geodirectory

Events Calendar for GeoDirectory <= 2.3.28 - Authenticated (Subscriber+) Privilege Escalation

HIGH PLUGIN

latepoint

LatePoint – Calendar Booking Plugin for Appointments and Events <= 5.5.1 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

booking-package

Booking Package <= 1.7.16 - Authenticated (Editor+) Privilege Escalation via Account Takeover to updateUser AJAX Action

HIGH PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 2.3 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

armember

ARMember Premium <= 7.3.1 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

CRITICAL PLUGIN

ai-copilot-content-generator

AI Chatbot & Workflow Automation by AIWU <= 1.4.17 - Unauthenticated Privilege Escalation

CRITICAL PLUGIN

supportboard

Support Board < 3.8.9 - Unauthenticated Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto