CVE-2025-5019

Nome do Software Vulnerável e Versões Afetadas Hive Support | Plugin de Help Desk com IA, Chat Ao Vivo e Bot de Chat com IA para WordPress versões 1.2.2 e anteriores

Descrição O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce incompleta ou incorreta na função hs update ai chat settings(). Isso permite que atacantes não autenticados reconfigurem as definições de IA/chat do plugin, incluindo chaves de API, e potencialmente redirecionem notificações ou vazem dados para endpoints controlados pelo atacante por meio de uma solicitação forjada, desde que consigam enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para as versões 1.2.2 e anteriores, como medida de contorno temporária, considere desativar a função hs update ai chat settings() até que uma correção esteja disponível. Restrinja o acesso às definições de IA/chat do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.