Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress para WordPress (CVE-2025-5019)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
06/06/2025
Última modificación:
06/06/2025

Descripción

El complemento Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.2.2 incluida. Esto se debe a una validación de nonce incompleta o incorrecta en la función hs_update_ai_chat_settings(). Esto permite que atacantes no autenticados reconfiguren la configuración de IA/chat del complemento (incluidas las claves API) y, potencialmente, redirijan notificaciones o filtren datos a endpoints controlados por el atacante mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.