Vulnerabilidad en JS Help Desk – AI-Powered Support &amp; Ticketing System (CVE-2026-2511)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

26/03/2026

Última modificación:

26/03/2026

Descripción

El plugin JS Help Desk – AI-Powered Support &amp; Ticketing System para WordPress es vulnerable a inyección SQL a través del parámetro &#39;multiformid&#39; en la función &#39;storeTickets()&#39; en todas las versiones hasta e incluyendo la 3.0.4. Esto se debe a que el valor &#39;multiformid&#39; proporcionado por el usuario se pasa a &#39;esc_sql()&#39; sin encerrar el resultado entre comillas en la consulta SQL, lo que hace que el escape sea ineficaz contra cargas útiles que no contienen caracteres de comillas. Esto hace posible que atacantes no autenticados añadan consultas SQL adicionales a consultas ya existentes que pueden utilizarse para extraer información sensible de la base de datos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vulnerabilidad en JS Help Desk – AI-Powered Support &amp;amp; Ticketing System (CVE-2026-2511)

Descripción

Impacto

Referencias a soluciones, herramientas e información

Vulnerabilidad en JS Help Desk – AI-Powered Support & Ticketing System (CVE-2026-2511)