Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Firebase Support & Chat Management <= 3.1.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation en Admin Chat BOX (escalada de privilegios) - version 3.1.2

PLUGIN HIGH CVE-2026-8787

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Firebase Support & Chat Management, que permite a usuarios autenticados con privilegios de suscriptor escalar sus permisos. Esto puede comprometer la integridad de la gestión de chat y soporte en el sitio web.

Contexto técnico

La vulnerabilidad se origina en una falta de autorización adecuada que permite a los suscriptores acceder a funcionalidades reservadas para usuarios con mayores privilegios. El vector de ataque se centra en la interacción con el plugin en versiones 3.1.1 y anteriores.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a usuarios malintencionados obtener acceso no autorizado a funciones críticas, afectando la seguridad general del sitio y la confianza del usuario. Esto podría resultar en una pérdida de datos o en la manipulación de la información del chat.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante la autenticación como suscriptor y realizar solicitudes que deberían estar restringidas a roles superiores.

Mitigación recomendada

Actualizar el plugin Firebase Support & Chat Management a la versión más reciente que corrija esta vulnerabilidad. Revisar y ajustar los permisos de usuario en el sistema para asegurar que los roles están correctamente configurados. Realizar auditorías de seguridad periódicas para identificar y mitigar riesgos similares.

Señales de detección

Monitorear los registros de acceso para detectar intentos inusuales de acceso a funciones administrativas por parte de usuarios con privilegios de suscriptor.

Alcance afectado

Las versiones del plugin Firebase Support & Chat Management hasta la 3.1.1 están afectadas. No se han confirmado otros escenarios de explotación más allá de esta versión.

Vulnerabilidades relacionadas

HIGH PLUGIN

simple-jwt-login

Simple JWT Login <= 3.6.6 - Authenticated (Subscriber+) Authentication Bypass to Privilege Escalation via 'payload' Parameter

HIGH PLUGIN

genolve-toolkit

Genolve – AI image AI video generation <= 5.0.5 - Authenticated (Contributor+) Incorrect Authorization to Privilege Escalation via theopt

HIGH PLUGIN

wp-grid-builder

WP Grid Builder <= 2.3.3 - Authenticated (Subscriber+) Privilege Escalation via 'key' Parameter

HIGH PLUGIN

divi-form-builder

Divi Form Builder <= 5.1.8 - Authenticated (Subscriber+) Missing Authorization to Privilege Escalation via User Profile Update Form

HIGH PLUGIN

duoshuo

多说社会化评论框 <= 1.2 - Unauthenticated Privilege Escalation via api.php 'option'/'value' Parameters

HIGH PLUGIN

backstage

Backstage <= 1.4.2 - Unauthenticated Privilege Escalation via Permissive Demo Role Capabilities

CRITICAL PLUGIN

eventer

Eventer <= 4.4.2 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

MEDIUM PLUGIN

themehunk-login-registration

Themehunk Login Registration <= 1.0.2 - Unauthenticated Privilege Escalation via 'role' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad