CVE-2025-11456

Nome do Software Vulnerável e Versões Afetadas Versões do ELEX WordPress HelpDesk & Customer Ticketing System até e incluindo a 3.3.1

Descrição O plugin ELEX WordPress HelpDesk & Customer Ticketing System para WordPress é suscetível a upload de arquivos arbitrários. Isso se deve à falta de validação de tipo de arquivo dentro da função eh crm new ticket post(). Isso permite que atacantes não autenticados façam upload de arquivos arbitrários para o servidor afetado, potencialmente levando à execução remota de código. A função eh crm new ticket post() é o componente responsável por lidar com o envio de novos tickets e é vulnerável devido à sanitização de entrada insuficiente.

Recomendações As versões anteriores e incluindo a 3.3.1 devem ser atualizadas para uma versão mais recente e corrigida assim que disponível. Como medida temporária, considere desativar o upload de arquivos dentro do plugin ELEX WordPress HelpDesk & Customer Ticketing System até que um patch esteja disponível.