Plataforma
other
Componente
qbicrmgateway
Se ha identificado una vulnerabilidad de Recorrido de Directorio (Path Traversal) en QbiCRMGateway, desarrollado por Ai3. Esta falla permite a atacantes remotos no autenticados acceder a archivos sensibles del sistema, comprometiendo la confidencialidad de la información. La vulnerabilidad afecta a las versiones desde 7.5.1 hasta 8.5.03, inclusive. Se recomienda aplicar las medidas de mitigación o actualizar a una versión corregida tan pronto como sea posible.
La vulnerabilidad de Recorrido de Directorio en QbiCRMGateway representa un riesgo significativo para la seguridad de los sistemas que lo utilizan. Un atacante puede explotar esta falla para leer archivos arbitrarios en el servidor, incluyendo archivos de configuración, contraseñas, claves de cifrado y otros datos confidenciales. El acceso a estos archivos podría permitir al atacante obtener control sobre el sistema, comprometer la integridad de los datos o realizar ataques de denegación de servicio. La falta de autenticación necesaria para explotar la vulnerabilidad amplía el alcance del riesgo, ya que cualquier atacante externo puede intentar la explotación. Esta situación es similar a otras vulnerabilidades de Path Traversal que han permitido el robo de información sensible en el pasado.
La vulnerabilidad CVE-2025-9639 ha sido publicada el 29 de agosto de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la falla (Recorrido de Directorio sin autenticación) la convierte en un objetivo atractivo para los atacantes. La probabilidad de explotación se considera media, dada la facilidad de la explotación y la falta de autenticación requerida. Se recomienda monitorear activamente los sistemas afectados y aplicar las medidas de mitigación lo antes posible.
Organizations utilizing QbiCRMGateway in production environments, particularly those with publicly accessible instances or those lacking robust access controls, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially leverage this vulnerability to access data belonging to other users.
• linux / server:
journalctl -u qbicrmgateway -g 'file access' | grep '../'• generic web:
curl -I 'http://your-qbicrmgateway-url/../../../../etc/passwd' # Check for 200 OK responsedisclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
Para mitigar el riesgo asociado a CVE-2025-9639, se recomienda implementar las siguientes medidas. En primer lugar, restringir el acceso a los directorios sensibles del sistema. Implementar una validación estricta de la entrada del usuario, asegurándose de que no contenga caracteres especiales o secuencias que puedan ser utilizadas para evadir las restricciones de acceso. Si la actualización a una versión corregida no es inmediatamente posible, considere la implementación de reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones sospechosos de Recorrido de Directorio. Monitorear los registros del sistema en busca de intentos de acceso no autorizados a archivos sensibles. Una vez aplicada la actualización, verificar que la vulnerabilidad ha sido corregida intentando acceder a archivos sensibles a través de la ruta vulnerable y confirmando que el acceso está denegado.
Actualice QbiCRMGateway a una versión posterior a 8.5.03 que corrija la vulnerabilidad de Path Traversal. Consulte el sitio web del proveedor Ai3 para obtener la última versión y las instrucciones de actualización. Si no hay una versión disponible, contacte al proveedor para obtener un parche.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-9639 is a vulnerability allowing attackers to read arbitrary files on a system running QbiCRMGateway. It's rated HIGH severity and affects versions 7.5.1–8.5.03.
If you are running QbiCRMGateway versions 7.5.1 through 8.5.03, you are potentially affected. Check your version and apply the vendor-provided patch as soon as it's available.
Upgrade to the patched version of QbiCRMGateway as soon as it is released by the vendor. Until then, implement mitigation steps like WAF rules and restricted file access.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your systems closely and apply mitigations.
Refer to the Ai3 website and security advisories page for the official advisory regarding CVE-2025-9639. Check their support channels for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.