CVE-2024-13552

Nome do Software Vulnerável e Versões Afetadas SupportCandy – Plugin de Sistema de Helpdesk e Tickets de Suporte ao Cliente para WordPress versões anteriores à 3.3.1

Descrição A vulnerabilidade permite que atacantes autenticados baixem anexos de tickets de suporte que não lhes pertencem devido à ausência de validação em uma chave controlada pelo usuário. Se um administrador habilitar tickets para convidados, isso poderá ser explorado por atacantes não autenticados.

Recomendações Para versões anteriores à 3.3.1, atualize para a versão 3.3.1 ou posterior para resolver a vulnerabilidade. Como medida paliativa temporária, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível. Restrinja o acesso a tickets de suporte sensíveis e anexos para minimizar o risco de exploração. Evite habilitar tickets para convidados, a menos que necessário, e implemente controles de acesso adicionais para mitigar o risco de atacantes não autenticados explorarem esta vulnerabilidade.