Plateforme
wordpress
Composant
js-support-ticket
Corrigé dans
2.9.3
La vulnérabilité CVE-2025-30878 est une faille d'accès arbitraire de fichiers (Path Traversal) découverte dans JoomSky JS Help Desk. Cette faille permet à un attaquant de contourner les restrictions d'accès aux fichiers du serveur. Elle affecte les versions de JS Help Desk comprises entre 0.0.0 et 2.9.2. Une version corrigée, la 2.9.3, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles situés sur le serveur web hébergeant JS Help Desk. Cela inclut des fichiers de configuration, des fichiers sources, des données de base de données, ou tout autre fichier accessible par le processus web. L'accès non autorisé à ces fichiers peut conduire à la divulgation d'informations confidentielles, à la modification de la configuration du serveur, voire à la prise de contrôle du système. Bien que cette vulnérabilité ne permette pas directement une exécution de code à distance, elle peut servir de tremplin pour d'autres attaques, en particulier si le serveur est mal configuré ou si d'autres vulnérabilités sont présentes. La nature de cette vulnérabilité, permettant la lecture de fichiers arbitraires, rappelle des incidents où des informations sensibles ont été compromises par le biais de failles de Path Traversal.
La vulnérabilité CVE-2025-30878 a été publiée le 1er avril 2025. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, en raison de la nature relativement simple de l'exploitation d'une faille de Path Traversal et de la disponibilité potentielle de Proof-of-Concept (PoC) publics. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter l'émergence de PoCs ou d'exploits.
WordPress websites utilizing the JS Help Desk plugin, particularly those running versions 0.0.0 through 2.9.2, are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may not be able to implement WAF rules or adjust file permissions effectively.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I 'https://example.com/js-help-desk/index.php?file=../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
Statut de l'Exploit
EPSS
0.38% (percentile 59%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour JS Help Desk vers la version 2.9.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions du répertoire d'installation de JS Help Desk pour limiter l'accès aux fichiers. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité. Configurez le WAF pour bloquer les requêtes contenant des séquences de caractères typiques de Path Traversal, comme '..' ou '../'. Enfin, surveillez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte.
Actualice el plugin JS Help Desk a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta. Verifique las notas de la versión para obtener instrucciones específicas de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles, para reducir el riesgo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30878 is a vulnerability in JS Help Desk allowing attackers to read arbitrary files on the server. It has a HIGH severity rating and affects versions 0.0.0 through 2.9.2.
If you are using JS Help Desk version 0.0.0 through 2.9.2 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade JS Help Desk to version 2.9.3 or later to resolve this vulnerability. Consider implementing WAF rules as an interim measure.
As of the current date, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-30878.
Refer to the JoomSky website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-30878.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.