CVE-2025-58959 描述了 AmentoTech Taskbot 中的路径遍历漏洞。该漏洞允许攻击者绕过访问控制,读取受限制目录之外的文件,可能导致敏感信息泄露。此漏洞影响 Taskbot 的 0.0.0 至 6.4 版本。已发布补丁版本 6.4.1。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的敏感数据,例如配置文件、源代码或用户数据。攻击者可能能够读取数据库凭据,从而获得对数据库的未经授权访问。此外,攻击者可能能够修改或删除文件,导致服务中断或数据损坏。由于 Taskbot 通常用于项目管理和任务跟踪,因此泄露的项目信息或用户数据可能会对组织造成重大损害。此漏洞的潜在影响类似于其他已知的路径遍历漏洞,可能导致数据泄露和系统破坏。
目前尚无公开的利用程序 (PoC),但该漏洞的 CVSS 评分为高,表明其具有较高的利用可能性。该漏洞已于 2025 年 10 月 22 日公开。尚未将其添加到 CISA KEV 目录中。建议密切关注安全社区的动态,以获取有关此漏洞的更多信息。
Organizations using AmentoTech Taskbot, particularly those with older versions (0.0.0–6.4) and those hosting Taskbot on shared hosting environments, are at significant risk. Those with misconfigured file permissions or lacking WAF protection are especially vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/taskbot/*• generic web:
curl -I 'http://your-taskbot-site.com/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 AmentoTech Taskbot 升级至 6.4.1 版本或更高版本。如果无法立即升级,可以考虑实施临时缓解措施。例如,可以配置 Web 服务器以阻止对敏感文件的访问,或者使用 Web 应用防火墙 (WAF) 来过滤恶意请求。此外,应审查 Taskbot 的配置,以确保其遵循安全最佳实践。在升级后,请验证漏洞是否已成功修复,例如通过尝试访问受限制目录之外的文件,并确认访问被拒绝。
Actualice el plugin Taskbot a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como la limitación de permisos de usuario y la validación de entradas, para fortalecer la seguridad de su sitio web.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-58959 是 AmentoTech Taskbot 0.0.0–6.4 版本中发现的路径遍历漏洞,允许攻击者访问受限制目录之外的文件。
如果您正在使用 AmentoTech Taskbot 的 0.0.0 至 6.4 版本,则您可能受到此漏洞的影响。
立即将 AmentoTech Taskbot 升级至 6.4.1 版本或更高版本以修复此漏洞。
目前尚无公开的利用程序,但由于其高 CVSS 评分,建议密切关注安全社区的动态。
请访问 AmentoTech 官方网站或 Taskbot 的文档中心,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。