Plataforma
wordpress
Componente
taskbot
Corrigido em
6.4.1
Uma vulnerabilidade de Path Traversal foi descoberta no Taskbot, permitindo acesso arbitrário a arquivos. Essa falha, classificada com severidade ALTA (CVSS 7.7), permite que atacantes explorem a aplicação para ler arquivos confidenciais do servidor. A vulnerabilidade afeta versões do Taskbot desde 0.0.0 até a versão 6.4, sendo corrigida na versão 6.4.1.
A exploração bem-sucedida desta vulnerabilidade de Path Traversal permite que um atacante acesse arquivos arbitrários no sistema de arquivos do servidor onde o Taskbot está instalado. Isso pode incluir arquivos de configuração, código-fonte, dados de usuários ou outros arquivos sensíveis. Um atacante pode usar essa informação para comprometer a segurança do sistema, obter acesso não autorizado a dados confidenciais ou até mesmo executar código malicioso. O impacto potencial é significativo, pois a leitura de arquivos de configuração pode revelar credenciais de banco de dados ou chaves de API, permitindo acesso a outros sistemas. A exposição de dados de usuários pode resultar em violações de privacidade e conformidade regulatória.
A vulnerabilidade foi divulgada em 2025-10-22. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Score System) score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração.
Organizations using AmentoTech Taskbot, particularly those with older versions (0.0.0–6.4) and those hosting Taskbot on shared hosting environments, are at significant risk. Those with misconfigured file permissions or lacking WAF protection are especially vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/taskbot/*• generic web:
curl -I 'http://your-taskbot-site.com/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 6.4.1 do Taskbot. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de instalação do Taskbot e monitorar o acesso a arquivos sensíveis. Implementar regras de firewall para bloquear o acesso não autorizado ao servidor também pode ajudar a reduzir o risco. Verifique se o servidor web está configurado para desabilitar a listagem de diretórios, impedindo que atacantes descubram arquivos potencialmente vulneráveis. Após a atualização, confirme a correção verificando se o acesso a arquivos sensíveis através de caminhos manipulados não é mais possível.
Actualice el plugin Taskbot a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la limitación de permisos de usuario y la validación de entradas, para fortalecer la seguridad de su sitio web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-58959 is a HIGH severity vulnerability in AmentoTech Taskbot allowing attackers to access files outside of the intended directory via a path traversal flaw. It affects versions 0.0.0–6.4.
If you are using AmentoTech Taskbot version 0.0.0 through 6.4, you are potentially affected by this vulnerability. Upgrade to 6.4.1 or later to mitigate the risk.
The recommended fix is to upgrade Taskbot to version 6.4.1 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-58959.
Please refer to the AmentoTech website or their security advisory page for the official advisory regarding CVE-2025-58959.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.