Plataforma
wordpress
Componente
js-support-ticket
Corrigido em
3.0.0
A vulnerabilidade CVE-2025-30882 é classificada como Path Traversal (Acesso Arbitrário a Arquivos) no JS Help Desk, um plugin para WordPress. Esta falha permite que atacantes acessem arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. As versões afetadas incluem todas as versões de 0.0.0 até 2.9.1. A correção foi lançada na versão 3.0.0.
Um atacante explorando com sucesso esta vulnerabilidade pode ler arquivos arbitrários no servidor onde o JS Help Desk está instalado. Isso pode incluir arquivos de configuração, arquivos de log contendo credenciais, ou até mesmo código-fonte do aplicativo. O impacto potencial é alto, pois a exposição de informações sensíveis pode levar a comprometimento completo do sistema. A exploração bem-sucedida pode permitir o acesso a dados de clientes, informações de usuários e outros dados confidenciais armazenados no servidor. A ausência de controles adequados de validação de caminho permite que um atacante manipule a requisição para acessar arquivos fora do diretório pretendido.
A vulnerabilidade foi publicada em 01 de abril de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A pontuação de probabilidade de exploração é considerada baixa devido à falta de publicações de Proof of Concept (PoC) e à ausência de relatos de exploração em campanhas ativas. Consulte o NVD (National Vulnerability Database) para informações adicionais.
Websites utilizing older versions of JS Help Desk, particularly those with shared hosting environments or limited security configurations, are at heightened risk. Administrators who haven't implemented robust file access controls or regular vulnerability scanning are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/js-help-desk/*• generic web:
curl -I http://your-site.com/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep js-help-desk• wordpress / composer / npm:
wp plugin update js-help-deskdisclosure
Status do Exploit
EPSS
0.50% (percentil 66%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o JS Help Desk para a versão 3.0.0 ou superior, que contém a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do plugin através de regras de firewall ou WAF (Web Application Firewall). Além disso, revise as permissões de arquivos e diretórios para garantir que apenas os usuários necessários tenham acesso de leitura. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos, procurando por padrões de path traversal (ex: '../').
Actualice el plugin JS Help Desk a la versión 3.0.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo el acceso no autorizado a archivos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30882 is a vulnerability in JS Help Desk allowing attackers to read arbitrary files due to a path traversal flaw. It affects versions 0.0.0 through 2.9.1 and has a CVSS score of 7.5 (HIGH).
You are affected if you are using JS Help Desk versions 0.0.0 through 2.9.1. Check your plugin version and upgrade immediately if vulnerable.
Upgrade JS Help Desk to version 3.0.0 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and restricted file permissions.
While no public exploits are currently known, the nature of path traversal vulnerabilities suggests potential for exploitation. Proactive remediation is recommended.
Refer to the JoomSky website and WordPress plugin repository for the official advisory and update information regarding CVE-2025-30882.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.