プラットフォーム
wordpress
コンポーネント
js-support-ticket
修正版
3.0.0
CVE-2025-30882は、JoomSky JS Help DeskにおけるPath Traversal(ディレクトリトラバーサル)脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意のファイルを読み取ることが可能となり、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンは0.0.0から2.9.1までの範囲です。バージョン3.0.0へのアップデートで脆弱性が修正されています。
このPath Traversal脆弱性は、攻撃者がJS Help Deskの処理を悪用し、本来アクセスできないはずのファイルにアクセスすることを可能にします。例えば、設定ファイルやログファイルから機密情報(データベースのパスワード、APIキーなど)を盗み出すことが考えられます。さらに、攻撃者はこの脆弱性を利用して、Webサーバーのルートディレクトリにアクセスし、Webサイト全体の改ざんを試みる可能性もあります。この脆弱性は、Webアプリケーションのセキュリティを著しく損なう可能性があります。
この脆弱性は、2025年4月1日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)には登録されていません。公的なPoC(Proof of Concept)は確認されていませんが、Path Traversal脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。
Websites utilizing older versions of JS Help Desk, particularly those with shared hosting environments or limited security configurations, are at heightened risk. Administrators who haven't implemented robust file access controls or regular vulnerability scanning are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I http://your-site.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep js-help-desk• wordpress / composer / npm:
wp plugin update js-help-deskdisclosure
エクスプロイト状況
EPSS
0.50% (66% パーセンタイル)
CISA SSVC
CVSS ベクトル
最も効果的な対策は、JS Help Deskをバージョン3.0.0以降にアップデートすることです。アップデートが困難な場合は、Webサーバーの設定でJS Help Deskのディレクトリへのアクセスを制限する、またはWAF(Web Application Firewall)を導入してPath Traversal攻撃を検知・防御するなどの対策を講じる必要があります。また、ファイルアクセス権限を適切に設定し、不要なファイルの公開を避けることも重要です。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないか検証してください。
Actualice el plugin JS Help Desk a la versión 3.0.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-30882は、JoomSky JS Help DeskのPath Traversal脆弱性であり、攻撃者が任意のファイルを読み取れる可能性があります。
JS Help Deskのバージョンが0.0.0から2.9.1までの場合は影響を受けます。バージョン3.0.0以降にアップデートしてください。
JS Help Deskをバージョン3.0.0以降にアップデートすることで修正できます。
現時点では公的なPoCは確認されていませんが、悪用される可能性は否定できません。
JoomSkyの公式ウェブサイトまたはWordPressプラグインリポジトリで確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。