Vulnerabilidad en SupportCandy – Helpdesk &amp; Customer Support Ticket System para WordPress (CVE-2024-13552)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

07/03/2025

Última modificación:

07/03/2025

Descripción

El complemento SupportCandy – Helpdesk &amp; Customer Support Ticket System para WordPress es vulnerable a una referencia directa a objetos insegura en todas las versiones hasta la 3.3.0 incluida a través de la carga de archivos debido a la falta de validación en una clave controlada por el usuario. Esto hace posible que atacantes autenticados descarguen archivos adjuntos para tickets de soporte que no les pertenecen. Si un administrador habilita tickets para invitados, esto puede ser explotado por atacantes no autenticados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Vulnerabilidad en SupportCandy – Helpdesk &amp;amp; Customer Support Ticket System para WordPress (CVE-2024-13552)

Descripción

Impacto

Referencias a soluciones, herramientas e información

Vulnerabilidad en SupportCandy – Helpdesk & Customer Support Ticket System para WordPress (CVE-2024-13552)