Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en LiveHelperChat

Fecha de publicación 20/03/2026
Identificador
INCIBE-2026-209
Importancia
4 - Alta
Recursos Afectados

LiveHelperChat, versión 4.81.

Descripción

INCIBE ha coordinado la publicación de 7 vulnerabilidades: 1 de severidad crítica, 4 de severidad alta y 2 de severidad media, que afectan a LiveHelperChat, una plataforma open-source de chat en vivo. Las vulnerabilidades han sido descubiertas por Pedro J. Núñez-Cacho Fuentes.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-4380: CVSS v4.0: 9.2 | CVSS AV:N/AC:L/AT:N/PR:H/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N | CWE-79
  • CVE-2026-4381: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-915
  • CVE-2026-4382: CVSS v4.0: 7.7 | CVSS AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-502
  • CVE-2026-4383: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-863
  • CVE-2026-4384: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
  • CVE-2026-4385: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N | CWE-918
  • CVE-2026-4386: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
Solución

Las vulnerabilidades han sido solucionadas por el equipo de LiveHelperChat en la versión 4.82.

Detalle
  • CVE-2026-4380: Cross-Site Scripting (XSS) almacenado por manipulación de Content-Type en LiveHelperChat, cuya explotación podría permitir a un atacante tomar el control total de la aplicación (creando cuentas de administrador) mediante la subida de un archivo malicioso con el encabezado modificado para forzar la ejecución de código JavaScript en el navegador de la víctima.
  • CVE-2026-4381: lectura arbitraria de archivos por asignación masiva en LiveHelperChat, cuya explotación podría permitir a un atacante acceder a archivos sensibles del sistema (como credenciales) mediante la modificación no validada de parámetros de ruta (file_path y name) a través de peticiones a la API REST.
  • CVE-2026-4382: deserialización insegura (inyección de objetos PHP) en LiveHelperChat, cuya explotación podría permitir a un atacante ejecutar código de forma remota (desplegando una webshell) mediante la inserción de payloads serializados directamente en la base de datos, tras haber extraído las credenciales del sistema.
  • CVE-2026-4383: omisión de control de acceso por lógica invertida en LiveHelperChat, cuya explotación podría permitir a un atacante eliminar cualquier chat del sistema mediante el envío de peticiones de borrado a la API REST utilizando una cuenta de bajo privilegio que carezca explícitamente de dichos permisos.
  • CVE-2026-4384: omisión de control de acceso en LiveHelperChat, cuya explotación podría permitir a un atacante interceptar datos sensibles de los chats (mensajes, archivos y datos de usuarios) mediante la modificación no autorizada de las URLs de los webhooks salientes a través de la API REST utilizando una cuenta sin privilegios.
  • CVE-2026-4385: Server-Side Request Forgery (SSRF) en LiveHelperChat, cuya explotación podría permitir a un atacante realizar peticiones de red no autorizadas desde el servidor hacia sistemas internos o externos mediante el envío de URLs controladas por el usuario a un webhook público configurado para descargar imágenes sin la debida validación.
  • CVE-2026-4386: referencia directa a objetos inseguros (IDOR) en LiveHelperChat, cuya explotación podría permitir a un atacante enumerar y extraer metadatos de conversaciones restringidas (como fechas y departamentos) mediante la consulta no autorizada de identificadores de chat en el controlador de mensajes previos utilizando una cuenta de operador con privilegios básicos.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-4380 Crítica No LiveHelperChat
CVE-2026-4381 Alta No LiveHelperChat
CVE-2026-4382 Alta No LiveHelperChat
CVE-2026-4383 Alta No LiveHelperChat
CVE-2026-4384 Alta No LiveHelperChat
CVE-2026-4385 Media No LiveHelperChat
CVE-2026-4386 Media No LiveHelperChat
Listado de referencias
4.82v Security updates, expanded widget mod
Etiquetas