Fuente base de datos: Wordfence Intelligence

Firebase Support & Chat Management <= 3.1.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation en Admin Chat BOX (escalada de privilegios)

PLUGIN HIGH CVE-2026-8787

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Firebase Support & Chat Management, que permite a usuarios autenticados con privilegios de suscriptor escalar sus permisos. Esto puede comprometer la integridad de la gestión de chat y soporte en el sitio web.

Contexto técnico

La vulnerabilidad se origina en una falta de autorización adecuada que permite a los suscriptores acceder a funcionalidades reservadas para usuarios con mayores privilegios. El vector de ataque se centra en la interacción con el plugin en versiones 3.1.1 y anteriores.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a usuarios malintencionados obtener acceso no autorizado a funciones críticas, afectando la seguridad general del sitio y la confianza del usuario. Esto podría resultar en una pérdida de datos o en la manipulación de la información del chat.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante la autenticación como suscriptor y realizar solicitudes que deberían estar restringidas a roles superiores.

Mitigación recomendada

Actualizar el plugin Firebase Support & Chat Management a la versión más reciente que corrija esta vulnerabilidad. Revisar y ajustar los permisos de usuario en el sistema para asegurar que los roles están correctamente configurados. Realizar auditorías de seguridad periódicas para identificar y mitigar riesgos similares.

Señales de detección

Monitorear los registros de acceso para detectar intentos inusuales de acceso a funciones administrativas por parte de usuarios con privilegios de suscriptor.

Alcance afectado

Las versiones del plugin Firebase Support & Chat Management hasta la 3.1.1 están afectadas. No se han confirmado otros escenarios de explotación más allá de esta versión.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

miniorange-otp-verification

miniOrange OTP Login, Verification and SMS Notifications <= 5.4.9 - Unauthenticated Privilege Escalation

HIGH PLUGIN

wishlist-member-x

Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) API Secret Key Disclosure and Privilege Escalation via 'wlm3_get_screen' AJAX action

HIGH PLUGIN

wishlist-member-x

Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) API Secret Key Disclosure and Privilege Escalation via 'wlm3_export_settings' AJAX Action

HIGH PLUGIN

easy-elements

Easy Elements for Elementor – Addons & Website Templates <= 1.4.5 - Unauthenticated Privilege Escalation via 'custom_meta' Parameter

CRITICAL PLUGIN

divi-form-builder

Divi Form Builder <= 5.1.2 - Unauthenticated Privilege Escalation via 'role'

HIGH PLUGIN

acymailing

AcyMailing <= 10.8.2 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via 'acymailing_router'

CRITICAL PLUGIN

easy-elements

Easy Elements for Elementor <= 1.4.4 - Unauthenticated Privilege Escalation via easyel_handle_register

HIGH PLUGIN

account-switcher

Account Switcher <= 1.0.2 - Authenticated (Subscriber+) Authentication Bypass to Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto