Plateforme
wordpress
Composant
knowledgebase-helpdesk-pro
Corrigé dans
8.0.6
Une vulnérabilité d'accès arbitraire de fichiers, également connue sous le nom de Path Traversal, a été découverte dans KBx Pro Ultimate. Cette faille permet à un attaquant de contourner les restrictions d'accès et de lire des fichiers situés en dehors du répertoire prévu. Elle affecte les versions de KBx Pro Ultimate comprises entre 0.0.0 et 8.0.5. Une version corrigée, 8.0.5, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles sur le serveur hébergeant KBx Pro Ultimate. Cela pourrait inclure des informations de configuration, des données utilisateur, des clés API, ou même des fichiers système. L'attaquant pourrait potentiellement obtenir un accès non autorisé à des informations confidentielles, compromettre la sécurité du système, ou même exécuter du code malveillant si les fichiers accessibles contiennent des scripts interprétables. Le risque est amplifié si le serveur héberge d'autres applications ou services, car l'attaquant pourrait utiliser cette vulnérabilité comme point de départ pour des attaques plus larges sur le réseau.
Cette vulnérabilité a été publiée le 23 mai 2025. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature relativement simple de l'exploitation des vulnérabilités de type Path Traversal.
Organizations using KBx Pro Ultimate for knowledgebase and helpdesk functionality are at risk, particularly those running older, unpatched versions. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's KBx Pro Ultimate installation could potentially lead to access for other users on the same server.
• wordpress / composer / npm:
grep -r '../' /var/www/kbxproultimate/• generic web:
curl -I 'http://your-kbxproultimate-site.com/../../../../etc/passwd' # Check for sensitive file access• wordpress / composer / npm:
wp plugin list --status=active | grep kbxproultimate• wordpress / composer / npm:
wp plugin update kbxproultimatedisclosure
Statut de l'Exploit
EPSS
0.29% (percentile 52%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour KBx Pro Ultimate vers la version 8.0.5 ou supérieure, qui corrige la faille. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de Path Traversal (par exemple, ../). Vérifiez également les permissions des fichiers et des répertoires pour vous assurer que seuls les utilisateurs autorisés ont accès aux fichiers sensibles. Surveillez les journaux d'accès et d'erreurs du serveur pour détecter toute tentative d'exploitation de la vulnérabilité.
Mettre à jour vers la version 8.0.5, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-31053 is a HIGH severity vulnerability in KBx Pro Ultimate allowing attackers to read arbitrary files through a path traversal flaw. It affects versions 0.0.0 through 8.0.5.
You are affected if you are using KBx Pro Ultimate versions 0.0.0 through 8.0.5. Upgrade to version 8.0.5 to eliminate the vulnerability.
Upgrade KBx Pro Ultimate to version 8.0.5 or later. As a temporary workaround, restrict file permissions and implement WAF rules to block path traversal attempts.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-31053, but it's crucial to apply the patch proactively.
Please refer to the official KBx Pro Ultimate website or security advisory channels for the latest information and updates regarding CVE-2025-31053.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.