Plataforma
other
Componente
convertx
Corregido en
0.16.1
La vulnerabilidad CVE-2025-66449 es un fallo de Path Traversal descubierto en ConvertX, una plataforma de conversión de archivos auto-alojada. Esta falla permite a usuarios autenticados escribir archivos arbitrarios en el sistema, lo que podría resultar en la sobreescritura de binarios críticos y, en última instancia, la ejecución de código malicioso. La vulnerabilidad afecta a versiones de ConvertX anteriores a la 0.16.0, y una solución ha sido implementada en esta versión.
El impacto de esta vulnerabilidad es significativo. Un atacante autenticado puede aprovecharla para subir archivos con nombres maliciosos, sobrescribiendo archivos del sistema, incluyendo ejecutables. Esto permite la ejecución remota de código (RCE) en el servidor donde se aloja ConvertX, otorgando al atacante control total sobre el sistema. La capacidad de sobrescribir binarios críticos significa que el atacante puede instalar puertas traseras, robar datos sensibles o interrumpir las operaciones del servidor. La falta de validación en el nombre del archivo subido es la causa directa de esta vulnerabilidad, permitiendo la manipulación del sistema de archivos.
Actualmente, no hay información pública sobre campañas activas que exploten CVE-2025-66449. La vulnerabilidad fue publicada el 16 de diciembre de 2025. No se ha listado en el KEV de CISA. La falta de un PoC público no significa que la vulnerabilidad no pueda ser explotada, especialmente por actores con conocimientos técnicos avanzados. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Organizations running self-hosted instances of ConvertX, particularly those with limited security controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user account could potentially impact other users on the same server.
• linux / server:
find /var/www/convertx -name '*convertx*' -type f -mtime +7 -print # Look for recently modified ConvertX files
journalctl -u convertx -f # Monitor ConvertX logs for suspicious upload activity• generic web:
curl -I 'http://your-convertx-server.com/upload?file.name=../../../../etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-66449 es actualizar ConvertX a la versión 0.16.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la restricción de permisos de escritura en el directorio de subida, la implementación de una validación estricta de los nombres de archivo subidos (permitiendo solo caracteres alfanuméricos y extensiones de archivo seguras) y la monitorización de los registros del sistema en busca de actividades sospechosas. Después de la actualización, verifique que la funcionalidad de subida de archivos esté funcionando correctamente y que los nombres de archivo se validen adecuadamente.
Actualice ConvertX a la versión 0.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución de código. La actualización evitará que un atacante sobrescriba archivos del sistema y ejecute código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66449 is a Path Traversal vulnerability in ConvertX versions prior to 0.16.0, allowing authenticated users to write arbitrary files and potentially achieve code execution.
You are affected if you are running ConvertX version 0.16.0 or earlier. Check your version and upgrade immediately.
Upgrade ConvertX to version 0.16.0 or later. As a temporary workaround, restrict file upload permissions and implement WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the ConvertX project's official website or GitHub repository for the latest security advisories and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.