प्लेटफ़ॉर्म
wordpress
घटक
js-support-ticket
में ठीक किया गया
3.0.0
CVE-2025-30882 एक 'पाथ ट्रैवर्सल' भेद्यता है जो JoomSky JS Help Desk में पाई गई है। यह भेद्यता हमलावरों को सिस्टम पर अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता JS Help Desk के संस्करण 0.0.0 से 2.9.1 तक के संस्करणों को प्रभावित करती है। संस्करण 3.0.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को JS Help Desk इंस्टॉलेशन निर्देशिका के बाहर स्थित फ़ाइलों तक पहुँचने की अनुमति देती है। इसका मतलब है कि वे संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य महत्वपूर्ण डेटा तक पहुँच सकते हैं। एक सफल हमलावर सिस्टम पर कोड भी निष्पादित कर सकता है, जिससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम को दूषित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है, जिसका अर्थ है कि कोई भी हमलावर इसका फायदा उठा सकता है।
CVE-2025-30882 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता का वर्णन स्पष्ट है और इसका शोषण करना अपेक्षाकृत आसान है।
Websites utilizing older versions of JS Help Desk, particularly those with shared hosting environments or limited security configurations, are at heightened risk. Administrators who haven't implemented robust file access controls or regular vulnerability scanning are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I http://your-site.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep js-help-desk• wordpress / composer / npm:
wp plugin update js-help-deskdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.50% (66% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-30882 के लिए प्राथमिक शमन उपाय JS Help Desk को संस्करण 3.0.0 या बाद के संस्करण में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके फ़ाइल एक्सेस को प्रतिबंधित किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो पथ ट्रैवर्सल पैटर्न का उपयोग करते हैं, जैसे कि '..' अनुक्रम। इसके अतिरिक्त, JS Help Desk इंस्टॉलेशन निर्देशिका के लिए फ़ाइल अनुमतियों को सख्त किया जाना चाहिए ताकि केवल आवश्यक उपयोगकर्ताओं के पास ही फ़ाइलों तक पहुँच हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, सिस्टम का परीक्षण करें।
Actualice el plugin JS Help Desk a la versión 3.0.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-30882 एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को JS Help Desk के इंस्टॉलेशन निर्देशिका के बाहर स्थित फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप JS Help Desk के संस्करण 0.0.0 से 2.9.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-30882 को ठीक करने के लिए, JS Help Desk को संस्करण 3.0.0 या बाद के संस्करण में अपग्रेड करें।
CVE-2025-30882 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य हो सकता है।
कृपया JoomSky की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।