Plateforme
wordpress
Composant
js-support-ticket
Corrigé dans
3.0.0
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans JS Help Desk, permettant un accès non autorisé à des fichiers sensibles. Cette faille, classée avec une sévérité élevée (CVSS 7.5), permet à un attaquant de lire des fichiers situés en dehors du répertoire prévu. Elle affecte les versions de JS Help Desk comprises entre 0.0.0 et 2.9.1. Une version corrigée, 3.0.0, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de lire des fichiers arbitraires sur le serveur. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des fichiers de code source contenant des secrets, ou des fichiers contenant des données personnelles. L'attaquant pourrait potentiellement obtenir un accès complet au système de fichiers, compromettant ainsi la confidentialité, l'intégrité et la disponibilité des données. Bien qu'il n'y ait pas de rapports d'exploitation publique connus, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 1er avril 2025. Elle n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de l'absence de mesures de protection par défaut. Il n'existe pas de preuves publiques d'exploitation active à ce jour, mais la vulnérabilité est facilement exploitable avec des requêtes HTTP simples.
Websites utilizing older versions of JS Help Desk, particularly those with shared hosting environments or limited security configurations, are at heightened risk. Administrators who haven't implemented robust file access controls or regular vulnerability scanning are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I http://your-site.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep js-help-desk• wordpress / composer / npm:
wp plugin update js-help-deskdisclosure
Statut de l'Exploit
EPSS
0.50% (percentile 66%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour JS Help Desk vers la version 3.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès au répertoire d'installation de JS Help Desk et de surveiller les tentatives d'accès non autorisées. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des séquences de traversal de chemin (../) peut également aider à atténuer le risque. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous qu'aucune modification non autorisée n'a été apportée.
Actualice el plugin JS Help Desk a la versión 3.0.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30882 is a vulnerability in JS Help Desk allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 2.9.1 and has a CVSS score of 7.5 (HIGH).
You are affected if you are using JS Help Desk versions 0.0.0 through 2.9.1. Check your plugin version and upgrade immediately if vulnerable.
Upgrade JS Help Desk to version 3.0.0 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and restricted file permissions.
While no public exploits are currently known, the nature of path traversal vulnerabilities suggests potential for exploitation. Proactive remediation is recommended.
Refer to the JoomSky website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-30882.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.