मुफ्त स्कैन करें
HIGHCVE-2025-30005CVSS 8.3

Xorcom CompletePBX <= 5.2.35 प्रमाणित पथ पारगमन और फ़ाइल विलोपन

प्लेटफ़ॉर्म

other

घटक

completepbx

में ठीक किया गया

5.2.36

AI Confidence: highNVDEPSS 74.7%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CompletePBX में एक पाथ ट्रैवर्सल भेद्यता की खोज की गई है, जो हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलों तक पहुँचने और उन्हें हटाने की अनुमति देती है। यह भेद्यता CompletePBX के डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल में मौजूद है। यह भेद्यता संस्करण 0 से लेकर 5.2.35 तक के सभी संस्करणों को प्रभावित करती है। संस्करण 5.2.36 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को CompletePBX सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुँचने की अनुमति देती है। वे सिस्टम कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप और अन्य महत्वपूर्ण डेटा को पढ़ सकते हैं। इसके अतिरिक्त, हमलावर मनमाने ढंग से फ़ाइलों को हटा सकते हैं, जिससे सिस्टम अस्थिर हो सकता है या डेटा हानि हो सकती है। इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने के लिए भी किया जा सकता है। एक सफल शोषण से डेटा गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। यह भेद्यता अन्य प्रणालियों में आगे बढ़ने के लिए एक प्रारंभिक बिंदु के रूप में भी काम कर सकती है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।

शोषण संदर्भ

CVE-2025-30005 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालाँकि, भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, यह संभावना है कि इसका उपयोग भविष्य में हमलों में किया जा सकता है। यह CVE CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध POC अभी तक नहीं है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.

पहचान के चरणअनुवाद हो रहा है…

• linux / server:

journalctl -u completepbx | grep -i "path traversal"

• generic web:

curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosure

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

74.71% (99% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L8.3HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकcompletepbx
विक्रेताXorcom
प्रभावित श्रेणीमें ठीक किया गया
0 – 5.2.355.2.36

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CompletePBX को संस्करण 5.2.36 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल तक पहुँच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पाथ ट्रैवर्सल हमलों को ब्लॉक किया जा सकता है। सिस्टम लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल के माध्यम से मनमाना फ़ाइलों को एक्सेस करने का प्रयास करके सत्यापित करें कि भेद्यता ठीक हो गई है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-30005 — पाथ ट्रैवर्सल CompletePBX में क्या है?

CVE-2025-30005 CompletePBX के डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल में एक पाथ ट्रैवर्सल भेद्यता है, जो हमलावरों को मनमाना फ़ाइलों को पढ़ने और हटाने की अनुमति देती है।

क्या मैं CVE-2025-30005 में CompletePBX से प्रभावित हूँ?

यदि आप CompletePBX के संस्करण 0 से लेकर 5.2.35 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2025-30005 में CompletePBX को कैसे ठीक करूँ?

इस भेद्यता को ठीक करने के लिए CompletePBX को संस्करण 5.2.36 में अपग्रेड करें।

क्या CVE-2025-30005 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-30005 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भविष्य में इसका उपयोग किया जा सकता है।

मैं CVE-2025-30005 के लिए आधिकारिक CompletePBX सलाहकार कहाँ पा सकता हूँ?

कृपया Xorcom की वेबसाइट पर जाएँ या CompletePBX सुरक्षा सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें