JS Help Desk – AI-Powered Support & Ticketing System <= 3.0.9 - Unauthenticated SQL Injection en JS Support Ticket (inyeccion SQL) - version 3.1.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin JS Help Desk, que afecta a las versiones hasta la 3.0.9. Esta falla de alta severidad puede comprometer la integridad de los datos y la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se manifiesta en el plugin JS Help Desk, específicamente en la gestión de tickets, permitiendo a un atacante no autenticado ejecutar consultas SQL maliciosas. Esto se debe a la falta de validación adecuada de los parámetros de entrada.

Impacto potencial

El impacto potencial incluye la exposición de datos sensibles y la posibilidad de manipulación de la base de datos, lo que podría resultar en pérdida de información crítica y afectación de la confianza del usuario en el servicio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a las funciones del plugin que gestionan los tickets, sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin JS Help Desk a la versión 3.1.0 o superior para corregir la vulnerabilidad. Revisar y reforzar las políticas de validación de entrada en todos los formularios del sitio. Implementar medidas de monitoreo para detectar accesos no autorizados y patrones de tráfico sospechosos.

Señales de detección

Revisar los registros de acceso para detectar patrones inusuales en las solicitudes hacia el endpoint del plugin, así como errores SQL en los logs del servidor.

Alcance afectado

Las versiones del plugin JS Help Desk hasta la 3.0.9 están afectadas. No se han confirmado casos en versiones posteriores a la 3.1.0.