Plataforma
wordpress
Componente
js-support-ticket
Corregido en
2.9.3
Se ha identificado una vulnerabilidad de Acceso Arbitrario a Archivos (Path Traversal) en JS Help Desk, un componente de WordPress. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, potencialmente comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.9.2, y se ha publicado una corrección en la versión 2.9.3.
La vulnerabilidad de Path Traversal en JS Help Desk permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos ubicados fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría utilizar esta vulnerabilidad para leer información confidencial, modificar archivos críticos del sistema, o incluso ejecutar código malicioso en el servidor. El impacto potencial es significativo, pudiendo resultar en la exposición de datos sensibles, la interrupción del servicio, o la toma de control completa del sistema.
La vulnerabilidad CVE-2025-30878 fue publicada el 1 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Sin embargo, dada la naturaleza de Path Traversal, es probable que se desarrollen exploits públicos en el futuro, por lo que se recomienda aplicar la mitigación lo antes posible.
WordPress websites utilizing the JS Help Desk plugin, particularly those running versions 0.0.0 through 2.9.2, are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may not be able to implement WAF rules or adjust file permissions effectively.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I 'https://example.com/js-help-desk/index.php?file=../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar JS Help Desk a la versión 2.9.3 o superior, que incluye la corrección para el Path Traversal. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos de acceso a los archivos del servidor web y utilizar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Además, revise las configuraciones del servidor web para asegurar que no se permita el acceso a directorios sensibles. Después de la actualización, verifique la integridad del sistema revisando los registros del servidor en busca de actividad sospechosa.
Actualice el plugin JS Help Desk a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las notas de la versión para obtener instrucciones específicas de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles, para reducir el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30878 is a vulnerability in JS Help Desk allowing attackers to read arbitrary files on the server. It has a HIGH severity rating and affects versions 0.0.0 through 2.9.2.
If you are using JS Help Desk version 0.0.0 through 2.9.2 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade JS Help Desk to version 2.9.3 or later to resolve this vulnerability. Consider implementing WAF rules as an interim measure.
As of the current date, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-30878.
Refer to the JoomSky website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-30878.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.