Plataforma
wordpress
Componente
elex-helpdesk-customer-support-ticket-system
Corregido en
3.3.3
La vulnerabilidad CVE-2025-13534 es una escalada de privilegios que afecta al plugin ELEX WordPress HelpDesk & Customer Ticketing System para WordPress. Esta falla permite a atacantes autenticados, con un nivel de acceso de Contribuidor o superior, obtener privilegios de administrador de helpdesk, lo que les otorga acceso no autorizado a la gestión de tickets, la configuración de ajustes y los datos confidenciales de los clientes. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.3.2, y se ha solucionado en la versión 3.3.3.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el sistema de helpdesk de WordPress. Esto incluye la capacidad de crear, editar y eliminar tickets, modificar la configuración del sistema, administrar agentes y acceder a información sensible de los clientes, como nombres, direcciones de correo electrónico, historial de compras y otros datos personales. La falta de autorización en la acción AJAX ehcrmedit_agent es la raíz del problema, permitiendo a usuarios con privilegios limitados eludir las restricciones de acceso. La explotación exitosa podría resultar en una brecha de datos significativa y comprometer la integridad del sistema de soporte al cliente.
Esta vulnerabilidad fue publicada el 2 de diciembre de 2025. No se ha añadido a la lista KEV de CISA ni se conoce una puntuación EPSS. Actualmente no se dispone de pruebas de concepto (PoC) públicas, pero la naturaleza de la vulnerabilidad (escalada de privilegios) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas afectados en busca de actividad sospechosa.
Websites utilizing the ELEX WordPress HelpDesk & Customer Ticketing System plugin, particularly those with multiple users assigned the Contributor role, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromised Contributor account on one site could potentially be leveraged to attack others.
• wordpress / composer / npm:
grep -r 'eh_crm_edit_agent' /var/www/html/wp-content/plugins/elex-wordpress-helpdesk/• wordpress / composer / npm:
wp plugin list --status=all | grep elex-wordpress-helpdesk• wordpress / composer / npm:
wp plugin update elex-wordpress-helpdesk --alldisclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13534 es actualizar el plugin ELEX WordPress HelpDesk & Customer Ticketing System a la versión 3.3.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear el acceso no autorizado a la acción AJAX ehcrmedit_agent desde cuentas de usuario con privilegios limitados. Revise los permisos de usuario y asegúrese de que los usuarios con acceso de Contribuidor o inferior solo tengan los privilegios necesarios para realizar sus tareas.
Actualizar a la versión 3.3.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13534 is a vulnerability in the ELEX WordPress HelpDesk plugin allowing authenticated users with Contributor access to gain administrator privileges. It impacts versions 0.0.0–3.3.2.
If you are using ELEX WordPress HelpDesk & Customer Ticketing System version 0.0.0 through 3.3.2, you are potentially affected by this vulnerability.
Upgrade the ELEX WordPress HelpDesk & Customer Ticketing System plugin to version 3.3.3 or later to resolve the vulnerability.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-13534.
Refer to the ELEX WordPress website and plugin documentation for the official advisory and update information regarding CVE-2025-13534.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.