CVE-2026-8787

Nome do Software Vulnerável e Versões Afetadas Firebase Support & Chat Management plugin for WordPress versões anteriores a 3.1.2

Description Um problema permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior escalem privilégios e realizem a tomada total de conta. A função firebase auth() autentica solicitações com base no e-mail fornecido no parâmetro POST user email sem verificar a propriedade desse e-mail, pois falha ao validar a assinatura, o emissor ou a audiência do token de ID do Firebase. Ao enviar o endereço de e-mail de um usuário alvo para a ação AJAX acb firebase auth, um atacante pode fazer login como qualquer usuário existente, incluindo um Administrador.

Recommendations Atualize para uma versão posterior a 3.1.1. Como medida paliativa temporária, restrinja o acesso à ação AJAX acb firebase auth ou evite o uso do parâmetro user email até que a atualização seja aplicada.