Plateforme
other
Composant
convertx
Corrigé dans
0.16.1
La vulnérabilité CVE-2025-66449 est une faille de traversal de chemin (Path Traversal) affectant ConvertX, un convertisseur de fichiers en ligne auto-hébergé. Cette faille permet à un utilisateur authentifié d'écrire des fichiers arbitraires sur le système, potentiellement en écrasant des binaires critiques et en permettant l'exécution de code malveillant. Les versions de ConvertX antérieures à la version 0.16.0 sont vulnérables, et une correction a été déployée dans la version 0.16.0.
L'impact de cette vulnérabilité est critique. Un attaquant authentifié peut exploiter cette faille pour écrire des fichiers arbitraires sur le système ConvertX. Cela inclut la possibilité d'écraser des binaires système avec des versions malveillantes, ce qui permettrait à l'attaquant d'obtenir une exécution de code à distance (RCE) sur le serveur. La capacité d'écrire des fichiers arbitraires donne à l'attaquant un contrôle significatif sur le système, pouvant mener à la compromission complète du serveur et à la perte de données sensibles. Cette vulnérabilité présente des similitudes avec des attaques de type 'log poisoning' où des fichiers de log sont modifiés pour masquer des activités malveillantes.
La vulnérabilité CVE-2025-66449 a été rendue publique le 16 décembre 2025. Il n'y a pas d'indications d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification et de la complexité potentielle de l'exploitation. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement après la divulgation, augmentant le risque d'exploitation.
Organizations running self-hosted instances of ConvertX, particularly those with limited security controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user account could potentially impact other users on the same server.
• linux / server:
find /var/www/convertx -name '*convertx*' -type f -mtime +7 -print # Look for recently modified ConvertX files
journalctl -u convertx -f # Monitor ConvertX logs for suspicious upload activity• generic web:
curl -I 'http://your-convertx-server.com/upload?file.name=../../../../etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ConvertX vers la version 0.16.0 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est crucial de restreindre les permissions de l'utilisateur authentifié pour limiter son accès aux fichiers et répertoires sensibles. La configuration d'un pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes tentant d'exploiter cette faille. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, en particulier les tentatives d'écriture de fichiers dans des emplacements inattendus. Une analyse régulière des fichiers système peut également aider à identifier les modifications non autorisées.
Actualice ConvertX a la versión 0.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución de código. La actualización evitará que un atacante sobrescriba archivos del sistema y ejecute código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-66449 is a Path Traversal vulnerability in ConvertX versions prior to 0.16.0, allowing authenticated users to write arbitrary files and potentially achieve code execution.
You are affected if you are running ConvertX version 0.16.0 or earlier. Check your version and upgrade immediately.
Upgrade ConvertX to version 0.16.0 or later. As a temporary workaround, restrict file upload permissions and implement WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the ConvertX project's official website or GitHub repository for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.