Plataforma
wordpress
Componente
freshchat
Corregido en
2.3.5
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Freshchat para WordPress. Esta vulnerabilidad permite a un atacante, mediante la manipulación de solicitudes web, ejecutar acciones en nombre de un usuario autenticado sin su conocimiento. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.3.4 inclusive, y la solución recomendada es actualizar a la versión 2.3.5.
Un atacante podría explotar esta vulnerabilidad para realizar acciones no autorizadas en cuentas de usuario de Freshchat, como modificar la configuración del plugin, acceder a información confidencial o incluso eliminar datos. El riesgo se agrava si los usuarios tienen permisos de administrador, ya que un atacante podría obtener control total sobre la instancia de Freshchat. La explotación exitosa de esta vulnerabilidad podría resultar en una pérdida de confidencialidad, integridad y disponibilidad de los datos almacenados en Freshchat, así como en la posible comprometer la seguridad del sitio WordPress en el que está instalado.
La vulnerabilidad ha sido publicada el 16 de diciembre de 2025. No se han reportado campañas de explotación activas conocidas al momento de la publicación. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
WordPress sites utilizing the Freshchat plugin, particularly those with administrator accounts that are frequently targeted or have weak password policies, are at increased risk. Shared hosting environments where multiple WordPress installations share the same server resources are also more vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'freshchat_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-freshchat-site.com/wp-admin/admin-ajax.php?action=freshchat_settings_update&setting_name=some_setting&setting_value=some_value -vdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Freshchat a la versión 2.3.5 o superior, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio WordPress antes de proceder. Implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas, puede ayudar a reducir el riesgo. Monitorear los registros del servidor en busca de patrones de solicitudes sospechosas también es recomendable.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64240 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Freshchat para WordPress, que permite a atacantes realizar acciones no autorizadas.
Sí, si está utilizando Freshchat en versiones desde 0.0.0 hasta 2.3.4 inclusive, es vulnerable a esta vulnerabilidad.
Actualice Freshchat a la versión 2.3.5 o superior para corregir la vulnerabilidad. Realice una copia de seguridad antes de actualizar.
No se han reportado campañas de explotación activas conocidas al momento de la publicación, pero se recomienda aplicar la actualización lo antes posible.
Consulte el sitio web de Freshchat o los canales oficiales de comunicación para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.