Múltiples vulnerabilidades en LiveHelperChat
LiveHelperChat, versión 4.81.
INCIBE ha coordinado la publicación de 7 vulnerabilidades: 1 de severidad crítica, 4 de severidad alta y 2 de severidad media, que afectan a LiveHelperChat, una plataforma open-source de chat en vivo. Las vulnerabilidades han sido descubiertas por Pedro J. Núñez-Cacho Fuentes.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-4380: CVSS v4.0: 9.2 | CVSS AV:N/AC:L/AT:N/PR:H/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N | CWE-79
- CVE-2026-4381: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-915
- CVE-2026-4382: CVSS v4.0: 7.7 | CVSS AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-502
- CVE-2026-4383: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-863
- CVE-2026-4384: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
- CVE-2026-4385: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N | CWE-918
- CVE-2026-4386: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
Las vulnerabilidades han sido solucionadas por el equipo de LiveHelperChat en la versión 4.82.
- CVE-2026-4380: Cross-Site Scripting (XSS) almacenado por manipulación de Content-Type en LiveHelperChat, cuya explotación podría permitir a un atacante tomar el control total de la aplicación (creando cuentas de administrador) mediante la subida de un archivo malicioso con el encabezado modificado para forzar la ejecución de código JavaScript en el navegador de la víctima.
- CVE-2026-4381: lectura arbitraria de archivos por asignación masiva en LiveHelperChat, cuya explotación podría permitir a un atacante acceder a archivos sensibles del sistema (como credenciales) mediante la modificación no validada de parámetros de ruta (file_path y name) a través de peticiones a la API REST.
- CVE-2026-4382: deserialización insegura (inyección de objetos PHP) en LiveHelperChat, cuya explotación podría permitir a un atacante ejecutar código de forma remota (desplegando una webshell) mediante la inserción de payloads serializados directamente en la base de datos, tras haber extraído las credenciales del sistema.
- CVE-2026-4383: omisión de control de acceso por lógica invertida en LiveHelperChat, cuya explotación podría permitir a un atacante eliminar cualquier chat del sistema mediante el envío de peticiones de borrado a la API REST utilizando una cuenta de bajo privilegio que carezca explícitamente de dichos permisos.
- CVE-2026-4384: omisión de control de acceso en LiveHelperChat, cuya explotación podría permitir a un atacante interceptar datos sensibles de los chats (mensajes, archivos y datos de usuarios) mediante la modificación no autorizada de las URLs de los webhooks salientes a través de la API REST utilizando una cuenta sin privilegios.
- CVE-2026-4385: Server-Side Request Forgery (SSRF) en LiveHelperChat, cuya explotación podría permitir a un atacante realizar peticiones de red no autorizadas desde el servidor hacia sistemas internos o externos mediante el envío de URLs controladas por el usuario a un webhook público configurado para descargar imágenes sin la debida validación.
- CVE-2026-4386: referencia directa a objetos inseguros (IDOR) en LiveHelperChat, cuya explotación podría permitir a un atacante enumerar y extraer metadatos de conversaciones restringidas (como fechas y departamentos) mediante la consulta no autorizada de identificadores de chat en el controlador de mensajes previos utilizando una cuenta de operador con privilegios básicos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-4380 | Crítica | No | LiveHelperChat |
| CVE-2026-4381 | Alta | No | LiveHelperChat |
| CVE-2026-4382 | Alta | No | LiveHelperChat |
| CVE-2026-4383 | Alta | No | LiveHelperChat |
| CVE-2026-4384 | Alta | No | LiveHelperChat |
| CVE-2026-4385 | Media | No | LiveHelperChat |
| CVE-2026-4386 | Media | No | LiveHelperChat |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.