HIGHCVE-2025-30878CVSS 8.6

WordPress JS Help Desk プラグイン <= 2.9.2 - 任意のファイル削除の脆弱性

Q: CVE-2025-30878 — パス・トラバーサル脆弱性はJS Help Deskで何ですか？

CVE-2025-30878は、JoomSky JS Help Desk 0.0.0～2.9.2で確認されたパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、システム上の任意のファイルを読み出す可能性があります。

Q: CVE-2025-30878でJS Help Deskを使用していますか？

JS Help Deskのバージョンが0.0.0から2.9.2までの場合は、影響を受けます。バージョン2.9.3以降にアップデートしてください。

Q: CVE-2025-30878でJS Help Deskを修正するにはどうすればよいですか？

JS Help Deskをバージョン2.9.3以降にアップデートすることで脆弱性が修正されます。アップデートが困難な場合は、Webサーバーの設定でアクセス制限やWAFの導入を検討してください。

Q: CVE-2025-30878は積極的に悪用されていますか？

現時点では、CVE-2025-30878を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であり、今後悪用される可能性は否定できません。

Q: CVE-2025-30878のJS Help Deskの公式アドバイザリはどこで入手できますか？

JoomSkyの公式ウェブサイトでアドバイザリを確認してください。https://joomsky.com/ (アドバイザリへの直接リンクは提供されていません)

プラットフォーム

wordpress

コンポーネント

js-support-ticket

修正版

2.9.3

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-30878は、JoomSky JS Help Deskにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意のファイルを読み出すことが可能となり、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。影響を受けるバージョンは0.0.0から2.9.2までのJS Help Deskです。2.9.3へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がJS Help Deskのインストールディレクトリ外にあるファイルを読み出すことを可能にします。例えば、攻撃者はWebサーバーの構成ファイルや、他のアプリケーションのデータファイルにアクセスし、機密情報を盗み出す可能性があります。攻撃者は、この脆弱性を利用して、システム管理者の認証情報を取得したり、Webサイトのコンテンツを改ざんしたりすることも考えられます。この脆弱性は、Webアプリケーションのセキュリティを著しく損なう可能性があり、機密情報の漏洩、サービス停止、さらにはシステム全体の制御権の奪取につながる可能性があります。

悪用の状況

CVE-2025-30878は、2025年4月1日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であり、今後悪用される可能性は否定できません。公開された情報に基づき、攻撃者はこの脆弱性を利用して、機密情報を盗み出す、またはシステムを不正に操作する可能性があります。

リスク対象者翻訳中…

WordPress websites utilizing the JS Help Desk plugin, particularly those running versions 0.0.0 through 2.9.2, are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may not be able to implement WAF rules or adjust file permissions effectively.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/js-help-desk/*

• generic web:

curl -I 'https://example.com/js-help-desk/index.php?file=../../../../etc/passwd' # Check for 200 OK response indicating file access

攻撃タイムライン

2025-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.38% (59% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjs-support-ticket

ベンダーJoomSky

影響範囲修正版

0.0.0 – 2.9.22.9.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-03-26
公開日2025-04-01
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、JS Help Deskをバージョン2.9.3以降にアップデートすることです。アップデートが困難な場合は、Webサーバーの設定でJS Help Deskのディレクトリへのアクセスを制限する、またはWAF（Web Application Firewall）を使用して、パス・トラバーサル攻撃を検知・防御するなどの対策を講じる必要があります。また、JS Help Deskのログを監視し、不審なアクセスがないか確認することも重要です。アップデート後、システムが正常に動作することを確認してください。

修正方法翻訳中…

Actualice el plugin JS Help Desk a la última versión disponible para mitigar la vulnerabilidad de recorrido de ruta.  Verifique las notas de la versión para obtener instrucciones específicas de actualización.  Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles, para reducir el riesgo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-30878 — パス・トラバーサル脆弱性はJS Help Deskで何ですか？