Plateforme
wordpress
Composant
taskbot
Corrigé dans
6.4.1
La vulnérabilité CVE-2025-58959 concerne un défaut de limitation de chemin d'accès (Path Traversal) dans Taskbot, un plugin WordPress. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de Taskbot comprises entre 0.0.0 et 6.4 inclus. Une version corrigée, 6.4.1, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut lire des fichiers sensibles présents sur le serveur web, tels que des fichiers de configuration, des fichiers de code source ou des données utilisateur. L'accès arbitraire de fichiers permet également de modifier ou de supprimer des fichiers, ce qui peut entraîner une dégradation du service ou une compromission complète du site WordPress. La portée de l'attaque dépend des permissions du serveur web et des fichiers accessibles. Bien que cette vulnérabilité ne permette pas directement l'exécution de code arbitraire, elle peut être combinée avec d'autres failles pour obtenir un contrôle total du système.
La vulnérabilité CVE-2025-58959 a été rendue publique le 22 octobre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, ce qui pourrait augmenter le risque d'exploitation.
Organizations using AmentoTech Taskbot, particularly those with older versions (0.0.0–6.4) and those hosting Taskbot on shared hosting environments, are at significant risk. Those with misconfigured file permissions or lacking WAF protection are especially vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/taskbot/*• generic web:
curl -I 'http://your-taskbot-site.com/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour Taskbot vers la version 6.4.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les permissions du serveur web pour limiter l'accès aux fichiers sensibles. Envisagez également de configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des séquences de caractères typiques des attaques par Path Traversal (../). Surveillez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute tentative d'exploitation de cette vulnérabilité.
Actualice el plugin Taskbot a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la limitación de permisos de usuario y la validación de entradas, para fortalecer la seguridad de su sitio web.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-58959 is a HIGH severity vulnerability in AmentoTech Taskbot allowing attackers to access files outside of the intended directory via a path traversal flaw. It affects versions 0.0.0–6.4.
If you are using AmentoTech Taskbot version 0.0.0 through 6.4, you are potentially affected by this vulnerability. Upgrade to 6.4.1 or later to mitigate the risk.
The recommended fix is to upgrade Taskbot to version 6.4.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-58959.
Please refer to the AmentoTech website or their security advisory page for the official advisory regarding CVE-2025-58959.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.