Plateforme
other
Composant
convertx
Corrigé dans
0.17.1
La vulnérabilité CVE-2026-24741 est une faille de traversal de chemin (Path Traversal) affectant ConvertX, un convertisseur de fichiers en ligne auto-hébergé. Cette faille permet à un attaquant de supprimer des fichiers arbitraires sur le serveur en manipulant le paramètre filename dans l'endpoint /delete. Les versions de ConvertX antérieures à la 0.17.0 sont vulnérables, et une correction a été déployée dans la version 0.17.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de supprimer des fichiers sensibles sur le serveur ConvertX. En fournissant des séquences de traversal de chemin (par exemple, ../), l'attaquant peut contourner les contrôles d'accès et cibler des fichiers en dehors du répertoire des uploads prévu. La portée de la suppression est limitée par les permissions du processus serveur, mais peut néanmoins entraîner une perte de données significative, une dégradation du service ou même une compromission du système d'exploitation sous-jacent si des fichiers système critiques sont supprimés. Cette vulnérabilité est particulièrement préoccupante dans les environnements où ConvertX est utilisé pour traiter des documents confidentiels.
Cette vulnérabilité a été rendue publique le 27 janvier 2026. Aucune preuve d'exploitation active n'a été signalée à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la disponibilité potentielle de la vulnérabilité dans des environnements non mis à jour. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Self-hosting users of ConvertX are at risk, particularly those running versions prior to 0.17.0. Shared hosting environments where ConvertX is installed may also be vulnerable if the hosting provider has not applied the necessary security updates. Users who have configured ConvertX with overly permissive file system permissions are at higher risk.
disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ConvertX vers la version 0.17.0 ou ultérieure, qui corrige la vulnérabilité de traversal de chemin. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre les permissions du processus serveur ConvertX au minimum nécessaire pour fonctionner, limitant ainsi l'impact potentiel d'une suppression de fichier non autorisée. Surveiller attentivement les journaux d'accès et d'erreurs pour détecter des tentatives de traversal de chemin suspectes. Bien qu'il n'existe pas de règles WAF spécifiques à cette vulnérabilité, une règle générale de validation des entrées utilisateur pourrait aider à bloquer les tentatives d'exploitation.
Actualice ConvertX a la versión 0.17.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el endpoint `/delete`. La actualización evitará que atacantes eliminen archivos arbitrarios en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24741 is a Path Traversal vulnerability in ConvertX versions prior to 0.17.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using ConvertX version 0.17.0 or earlier. Upgrade to 0.17.0 to mitigate the risk.
Upgrade ConvertX to version 0.17.0 or later. As a temporary workaround, restrict server permissions and implement filename validation.
There is currently no evidence of active exploitation of CVE-2026-24741.
Refer to the ConvertX project's official website or repository for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.