मुफ्त स्कैन करें
CRITICALCVE-2025-52562CVSS 10

कन्वॉय पैनल में LocaleController में डायरेक्टरी ट्रावर्सल भेद्यता जिससे रिमोट कोड एग्जीक्यूशन हो सकता है

प्लेटफ़ॉर्म

php

घटक

panel

में ठीक किया गया

3.9.1

AI Confidence: highNVDEPSS 1.9%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2025-52562 is a critical Remote Code Execution (RCE) vulnerability affecting Performave Convoy Panel, a KVM server management panel. An attacker can exploit this flaw to include and execute arbitrary PHP files on the server, potentially leading to complete system compromise. This vulnerability impacts versions 3.9.0-rc.3 through 4.4.0. The vulnerability has been patched in version 4.4.1.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The impact of CVE-2025-52562 is severe. Successful exploitation allows an unauthenticated attacker to execute arbitrary code on the Convoy Panel server. This could lead to complete system takeover, including data exfiltration, modification, or deletion. An attacker could potentially gain access to sensitive server configurations, KVM virtual machine details, and user credentials. Lateral movement within the network is also a significant concern, as the attacker could leverage the compromised Convoy Panel to target other systems. The blast radius extends to any data or systems accessible from the compromised server.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2025-52562 is listed on KEV (Kernel Exploit Visibility Database), indicating a higher probability of exploitation. The CVSS score of 10 (Critical) reflects the severity of the vulnerability and the ease of exploitation. Public Proof-of-Concept (POC) code is likely to emerge given the vulnerability's nature and the critical CVSS score. While no active campaigns have been publicly reported as of the publication date (2025-06-23), the potential for exploitation remains high.

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

1.87% (83% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpanel
विक्रेताConvoyPanel
प्रभावित श्रेणीमें ठीक किया गया
>= 3.9.0-rc.3, < 4.4.1 – >= 3.9.0-rc.3, < 4.4.13.9.1

कमजोरी वर्गीकरण (CWE)

CWE-22CWE-98

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2025-52562 is to immediately upgrade Convoy Panel to version 4.4.1 or later. If upgrading is not immediately feasible, implement strict Web Application Firewall (WAF) rules to filter incoming requests, specifically targeting malicious locale and namespace parameters. These rules should block any requests containing suspicious characters or patterns that could indicate an attempt to exploit the directory traversal vulnerability. Consider implementing input validation and sanitization on the LocaleController component to prevent malicious input from being processed. After upgrading, confirm the fix by attempting to trigger the vulnerability with a crafted HTTP request and verifying that it is blocked.

कैसे ठीक करें

Convoy Panel को संस्करण 4.4.1 या उच्चतर में अपडेट करें। वैकल्पिक रूप से, कमजोर एंडपॉइंट को लक्षित करने वाले आने वाले अनुरोधों के लिए सख्त वेब एप्लीकेशन फ़ायरवॉल (WAF) नियम लागू करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2025-52562 — Remote Code Execution (RCE) in Convoy Panel?

It's a critical Remote Code Execution (RCE) vulnerability in Performave Convoy Panel, allowing attackers to execute code on your server.

Am I affected by CVE-2025-52562 in Convoy Panel?

You are affected if you're running Convoy Panel versions 3.9.0-rc.3 through 4.4.0. Check your version immediately.

How do I fix CVE-2025-52562 in Convoy Panel?

Upgrade to Convoy Panel version 4.4.1. As a temporary workaround, implement strict WAF rules to block malicious requests.

Is CVE-2025-52562 being actively exploited?

No active campaigns are publicly known yet, but the high CVSS score and KEV listing suggest a high exploitation probability.

Where can I find the official Convoy Panel advisory for CVE-2025-52562?

Refer to the Performave security advisory and the NVD entry for CVE-2025-52562 for detailed information.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें