प्लेटफ़ॉर्म
other
घटक
completepbx
में ठीक किया गया
5.2.36
CompletePBX में एक पाथ ट्रैवर्सल भेद्यता की खोज की गई है, जो हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलों तक पहुँचने और उन्हें हटाने की अनुमति देती है। यह भेद्यता CompletePBX के डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल में मौजूद है। यह भेद्यता संस्करण 0 से लेकर 5.2.35 तक के सभी संस्करणों को प्रभावित करती है। संस्करण 5.2.36 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को CompletePBX सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुँचने की अनुमति देती है। वे सिस्टम कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप और अन्य महत्वपूर्ण डेटा को पढ़ सकते हैं। इसके अतिरिक्त, हमलावर मनमाने ढंग से फ़ाइलों को हटा सकते हैं, जिससे सिस्टम अस्थिर हो सकता है या डेटा हानि हो सकती है। इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने के लिए भी किया जा सकता है। एक सफल शोषण से डेटा गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। यह भेद्यता अन्य प्रणालियों में आगे बढ़ने के लिए एक प्रारंभिक बिंदु के रूप में भी काम कर सकती है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
CVE-2025-30005 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालाँकि, भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता को देखते हुए, यह संभावना है कि इसका उपयोग भविष्य में हमलों में किया जा सकता है। यह CVE CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध POC अभी तक नहीं है।
Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.
• linux / server:
journalctl -u completepbx | grep -i "path traversal"• generic web:
curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
74.71% (99% शतमक)
CISA SSVC
CVSS वेक्टर
CompletePBX को संस्करण 5.2.36 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल तक पहुँच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पाथ ट्रैवर्सल हमलों को ब्लॉक किया जा सकता है। सिस्टम लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल के माध्यम से मनमाना फ़ाइलों को एक्सेस करने का प्रयास करके सत्यापित करें कि भेद्यता ठीक हो गई है।
Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-30005 CompletePBX के डायग्नोस्टिक्स रिपोर्टिंग मॉड्यूल में एक पाथ ट्रैवर्सल भेद्यता है, जो हमलावरों को मनमाना फ़ाइलों को पढ़ने और हटाने की अनुमति देती है।
यदि आप CompletePBX के संस्करण 0 से लेकर 5.2.35 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए CompletePBX को संस्करण 5.2.36 में अपग्रेड करें।
CVE-2025-30005 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भविष्य में इसका उपयोग किया जा सकता है।
कृपया Xorcom की वेबसाइट पर जाएँ या CompletePBX सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।