Plataforma
wordpress
Componente
js-support-ticket
Corregido en
3.0.0
La vulnerabilidad CVE-2025-30882 es una falla de Path Traversal detectada en JoomSky JS Help Desk. Esta falla permite a un atacante acceder a archivos arbitrarios en el servidor, comprometiendo la confidencialidad de la información. Afecta a las versiones desde 0.0.0 hasta la 2.9.1. La solución recomendada es actualizar a la versión 3.0.0.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales del servidor, incluyendo archivos de configuración, código fuente, o incluso bases de datos. Esto podría resultar en la exposición de credenciales, información personal de los usuarios, o datos críticos del negocio. La falta de una validación adecuada de la ruta del archivo permite a un atacante manipular la solicitud para acceder a ubicaciones fuera del directorio previsto. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad de los datos.
La vulnerabilidad fue publicada el 1 de abril de 2025. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
Websites utilizing older versions of JS Help Desk, particularly those with shared hosting environments or limited security configurations, are at heightened risk. Administrators who haven't implemented robust file access controls or regular vulnerability scanning are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I http://your-site.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep js-help-desk• wordpress / composer / npm:
wp plugin update js-help-deskdisclosure
Estado del Exploit
EPSS
0.50% (66% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar JS Help Desk a la versión 3.0.0, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar medidas temporales. Restringir el acceso al servidor web a través de un firewall o WAF puede limitar la exposición. Implementar reglas de WAF para bloquear solicitudes que contengan caracteres de path traversal (../) puede ayudar a prevenir la explotación. Verificar la configuración del servidor web para asegurar que el acceso a archivos sensibles esté restringido.
Actualice el plugin JS Help Desk a la versión 3.0.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30882 is a vulnerability in JS Help Desk allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 2.9.1 and has a CVSS score of 7.5 (HIGH).
You are affected if you are using JS Help Desk versions 0.0.0 through 2.9.1. Check your plugin version and upgrade immediately if vulnerable.
Upgrade JS Help Desk to version 3.0.0 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and restricted file permissions.
While no public exploits are currently known, the nature of path traversal vulnerabilities suggests potential for exploitation. Proactive remediation is recommended.
Refer to the JoomSky website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-30882.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.