Fuente base de datos: Wordfence Intelligence

JS Help Desk – AI-Powered Support & Ticketing System <= 3.0.9 - Missing Authorization en JS Support Ticket (falta de autorizacion) - version 3.1.0

PLUGIN MEDIUM CVE-2026-48887

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad de autorización en el plugin JS Help Desk en versiones hasta 3.0.9, que podría permitir accesos no autorizados a funcionalidades críticas. Esta situación puede comprometer la seguridad operativa y la integridad de los datos gestionados por el sistema de tickets.

Contexto técnico

La vulnerabilidad se origina en una falta de verificación de autorización, lo que permite a un atacante potencial acceder a funciones restringidas del plugin. La superficie de ataque se centra en las interacciones del usuario con el sistema de soporte y ticketing, donde la autenticación adecuada no se aplica correctamente.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados manipular o acceder a información sensible, lo que podría resultar en la pérdida de datos o en la exposición de información confidencial. Esto afecta tanto a la confianza del cliente como a la reputación de la organización.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de solicitudes maliciosas que omiten la verificación de permisos, permitiendo a un atacante ejecutar acciones no autorizadas dentro del sistema.

Mitigación recomendada

Actualizar el plugin JS Help Desk a la versión 3.1.0 o superior para corregir la vulnerabilidad. Revisar y restringir los permisos de acceso a las funciones del plugin hasta que se complete la actualización. Realizar auditorías de seguridad periódicas para identificar y mitigar otras posibles vulnerabilidades.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales a funciones administrativas del plugin y configuraciones que permitan el acceso sin autorización adecuada.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.1.0 del plugin JS Help Desk. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

js-support-ticket

JS Help Desk – AI-Powered Support & Ticketing System <= 3.0.9 - Unauthenticated SQL Injection

HIGH PLUGIN

js-support-ticket

JS Help Desk – AI-Powered Support & Ticketing System <= 3.0.4 - Unauthenticated SQL Injection via 'multiformid' Parameter

MEDIUM PLUGIN

js-support-ticket

JS Help Desk – AI-Powered Support & Ticketing System <= 3.0.3 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

js-support-ticket

JS Help Desk – AI-Powered Support & Ticketing System <= 3.0.3 - Authenticated (Subscriber+) SQL Injection

HIGH PLUGIN

js-support-ticket

JS Help Desk – AI-Powered Support & Ticketing System 2.8.2 - Unauthenticated SQL Injection via 'js-support-ticket-token-tkstatus' Cookie

MEDIUM PLUGIN

js-support-ticket

JS Help Desk <= 3.0.1 - Authenticated (Subscriber+) SQL Injection

CRITICAL PLUGIN

js-support-ticket

JS Help Desk <= 2.9.2 - Unauthenticated Local File Inclusion

CRITICAL PLUGIN

js-support-ticket

JS Help Desk <= 2.9.2 - Unauthenticated Arbitrary File Deletion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto