Plateforme
other
Composant
completepbx
Corrigé dans
5.2.36
Une vulnérabilité de type Path Traversal a été découverte dans CompletePBX, un système de téléphonie open source. Cette faille permet à un attaquant de lire et de supprimer des fichiers arbitraires sur le système via le module de rapports de diagnostic. Elle affecte toutes les versions de CompletePBX antérieures à la version 5.2.35. Une correction est disponible dans la version 5.2.36.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des informations sensibles stockées sur le serveur CompletePBX, telles que des fichiers de configuration, des mots de passe ou des données de clients. L'attaquant peut également supprimer des fichiers, ce qui pourrait entraîner une perte de données ou une interruption de service. La capacité de supprimer des fichiers rend cette vulnérabilité particulièrement critique, car elle permet à un attaquant de compromettre l'intégrité du système. Bien que le module de rapports de diagnostic soit souvent considéré comme moins critique, l'accès non restreint aux fichiers du système via ce module représente un risque significatif.
Cette vulnérabilité a été publiée le 31 mars 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été rendu disponible. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public.
Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.
• linux / server:
journalctl -u completepbx | grep -i "path traversal"• generic web:
curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
74.71% (percentile 99%)
CISA SSVC
Vecteur CVSS
La mesure la plus importante pour atténuer cette vulnérabilité est de mettre à jour CompletePBX vers la version 5.2.36 ou supérieure, qui inclut la correction. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au module de rapports de diagnostic aux seuls utilisateurs autorisés. En outre, examinez les fichiers de configuration pour identifier et supprimer tout fichier sensible qui n'est pas strictement nécessaire au fonctionnement du système. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des tentatives d'accès à des fichiers en dehors du répertoire attendu peut aider à détecter une exploitation.
Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30005 is a vulnerability in CompletePBX allowing attackers to read and delete files via the Diagnostics reporting module.
If you are running CompletePBX versions 0–5.2.35, you are affected by this vulnerability.
Upgrade CompletePBX to version 5.2.36 or later to resolve the vulnerability. Consider temporary workarounds like firewall restrictions if immediate upgrade is not possible.
Active exploitation campaigns are not currently confirmed, but the vulnerability's severity warrants immediate attention.
Refer to the Xorcom security advisory page for the latest information and updates regarding CVE-2025-30005.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.