The Awesome Support – WordPress HelpDesk & Support Plugin plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to, and including, 6.3.7. This is due to the wpas_get_ticket_replies_ajax() function failing to verify whether the authenticated user has permission to view the specific ticket being requested. This makes it possible for authenticated attackers, with subscriber-level access and above, to access sensitive information from all support tickets in the system by manipulating the ticket_id parameter.
The Awesome Support WordPress plugin versions up to 6.3.7 contain an Insecure Direct Object Reference vulnerability in the wpas_get_ticket_replies_ajax() function that fails to verify user permissions. Authenticated subscribers can access sensitive information from all support tickets by manipulating the ticket_id parameter.
ثغرة مرجع كائن مباشر غير آمن (IDOR) في مكون Awesome Support لـ WordPress تسمح للمستخدمين المصرح لهم بمستوى المشترك بالوصول إلى جميع تذاكر الدعم في النظام. الدالة wpas_get_ticket_replies_ajax() لا تتحقق من أن المستخدم لديه الإذن لعرض التذكرة المطلوبة قبل إرجاع البيانات الحساسة.
يحتوي مكون Awesome Support لـ WordPress الإصدارات حتى 6.3.7 على ثغرة مرجع كائن مباشر غير آمن في دالة wpas_get_ticket_replies_ajax() التي تفشل في التحقق من أذونات المستخدم. يمكن للمشتركين المصرح لهم الوصول إلى معلومات حساسة من جميع تذاكر الدعم بمعالجة معامل ticket_id.
Update the Awesome Support plugin to version 6.3.8 or later immediately. Implement proper access control checks in the wpas_get_ticket_replies_ajax() function to verify user permissions before returning ticket data. Conduct a security audit of all support ticket access logs to identify potential unauthorized access.
قم بتحديث مكون Awesome Support إلى الإصدار 6.3.8 أو أحدث على الفور. تطبيق فحوصات التحكم في الوصول المناسبة في دالة wpas_get_ticket_replies_ajax() للتحقق من أذونات المستخدم قبل إرجاع بيانات التذاكر. إجراء تدقيق أمني لجميع سجلات الوصول إلى تذاكر الدعم لتحديد الوصول غير المصرح به المحتمل.