Plataforma
other
Componente
convertx
Corregido en
0.17.1
La vulnerabilidad CVE-2026-24741 es un fallo de Path Traversal descubierto en ConvertX, una plataforma de conversión de archivos auto-alojada. Esta vulnerabilidad permite a un atacante borrar archivos arbitrarios en el servidor, comprometiendo la integridad de los datos. Afecta a versiones de ConvertX anteriores o iguales a 0.17.0. La vulnerabilidad ha sido corregida en la versión 0.17.0.
El impacto de esta vulnerabilidad es significativo. Un atacante puede explotarla para eliminar archivos críticos del sistema, incluyendo archivos de configuración, bases de datos o incluso el propio código de la aplicación. Esto podría resultar en la denegación de servicio, la pérdida de datos o incluso la toma de control del servidor. La falta de validación en el parámetro filename del endpoint /delete permite la inyección de secuencias de path traversal como ../, lo que permite al atacante navegar fuera del directorio de subidas previsto y acceder a otros archivos en el sistema de archivos. La severidad de la vulnerabilidad se agrava por la posibilidad de que el atacante pueda ejecutar comandos en el servidor si tiene los permisos necesarios.
La vulnerabilidad fue publicada el 27 de enero de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. No se encuentra en el KEV de CISA. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Self-hosting users of ConvertX are at risk, particularly those running versions prior to 0.17.0. Shared hosting environments where ConvertX is installed may also be vulnerable if the hosting provider has not applied the necessary security updates. Users who have configured ConvertX with overly permissive file system permissions are at higher risk.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ConvertX a la versión 0.17.0 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir los permisos del usuario que ejecuta el proceso de ConvertX para limitar el daño potencial en caso de explotación. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de path traversal en el parámetro filename. Monitorear los logs del servidor en busca de intentos de acceso o eliminación de archivos no autorizados.
Actualice ConvertX a la versión 0.17.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el endpoint `/delete`. La actualización evitará que atacantes eliminen archivos arbitrarios en el sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24741 is a Path Traversal vulnerability in ConvertX versions prior to 0.17.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using ConvertX version 0.17.0 or earlier. Upgrade to 0.17.0 to mitigate the risk.
Upgrade ConvertX to version 0.17.0 or later. As a temporary workaround, restrict server permissions and implement filename validation.
There is currently no evidence of active exploitation of CVE-2026-24741.
Refer to the ConvertX project's official website or repository for the latest security advisories and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.