WordPress JS Help Desk प्लगइन <= 2.9.1 - मनमाना फ़ाइल डाउनलोड भेद्यता
प्लेटफ़ॉर्म
wordpress
घटक
js-support-ticket
में ठीक किया गया
3.0.0
CVE-2025-30882 एक 'पाथ ट्रैवर्सल' भेद्यता है जो JoomSky JS Help Desk में पाई गई है। यह भेद्यता हमलावरों को सिस्टम पर अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता JS Help Desk के संस्करण 0.0.0 से 2.9.1 तक के संस्करणों को प्रभावित करती है। संस्करण 3.0.0 में इस समस्या का समाधान किया गया है।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को JS Help Desk इंस्टॉलेशन निर्देशिका के बाहर स्थित फ़ाइलों तक पहुँचने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य महत्वपूर्ण डेटा तक पहुँच सकते हैं। एक सफल हमलावर सिस्टम पर कोड भी निष्पादित कर सकता है, जिससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम को दूषित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है, जिसका अर्थ है कि कोई भी हमलावर इसका फायदा उठा सकता है।
शोषण संदर्भ
CVE-2025-30882 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता का वर्णन स्पष्ट है और इसका शोषण करना अपेक्षाकृत आसान है।
कौन जोखिम में हैअनुवाद हो रहा है…
Websites utilizing older versions of JS Help Desk, particularly those with shared hosting environments or limited security configurations, are at heightened risk. Administrators who haven't implemented robust file access controls or regular vulnerability scanning are also more susceptible to exploitation.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I http://your-site.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep js-help-desk• wordpress / composer / npm:
wp plugin update js-help-deskहमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.50% (66% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 8Kज्ञात
- प्लगइन रेटिंग
- 3.8
- WordPress आवश्यक
- 5.5+
- संगत संस्करण तक
- 6.9.4
- PHP आवश्यक
- 7.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2025-30882 के लिए प्राथमिक शमन उपाय JS Help Desk को संस्करण 3.0.0 या बाद के संस्करण में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल एक्सेस को प्रतिबंधित किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो पथ ट्रैवर्सल पैटर्न का उपयोग करते हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, JS Help Desk इंस्टॉलेशन निर्देशिका के लिए फ़ाइल अनुमतियों को सख्त किया जाना चाहिए ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों तक पहुँच हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, सिस्टम का परीक्षण करें।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin JS Help Desk a la versión 3.0.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2025-30882 — पाथ ट्रैवर्सल JS Help Desk में क्या है?
CVE-2025-30882 एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को JS Help Desk के इंस्टॉलेशन निर्देशिका के बाहर स्थित फ़ाइलों तक पहुँचने की अनुमति देती है।
क्या मैं CVE-2025-30882 से JS Help Desk में प्रभावित हूँ?
यदि आप JS Help Desk के संस्करण 0.0.0 से 2.9.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
मैं JS Help Desk में CVE-2025-30882 को कैसे ठीक करूँ?
CVE-2025-30882 को ठीक करने के लिए, JS Help Desk को संस्करण 3.0.0 या बाद के संस्करण में अपग्रेड करें।
क्या CVE-2025-30882 सक्रिय रूप से शोषण किया जा रहा है?
CVE-2025-30882 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है।
मैं JS Help Desk के लिए CVE-2025-30882 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?
कृपया JoomSky की वेबसाइट पर आधिकारिक सलाहकार देखें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।