HIGHCVE-2025-66449CVSS 8.8

ConvertX にはパス・トラバーサル脆弱性が存在し、任意のファイル書き込みと任意のコード実行につながる

Q: CVE-2025-66449 — パストラバーサル in ConvertXとは何ですか？

CVE-2025-66449は、ConvertXのバージョン0.16.0以前に存在するパストラバーサル脆弱性です。認証されたユーザーがシステム上の任意のファイルを書き込める可能性があります。

Q: CVE-2025-66449 in ConvertXで影響を受けますか？

ConvertXのバージョンが0.16.0以前の場合は、この脆弱性の影響を受けます。すぐにバージョン0.16.0以降にアップデートしてください。

Q: CVE-2025-66449 in ConvertXを修正するにはどうすればよいですか？

ConvertXをバージョン0.16.0以降にアップデートしてください。アップデートがすぐに利用できない場合は、ファイルアップロードの入力を検証し、ファイアウォールルールを実装することを検討してください。

Q: CVE-2025-66449は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2025-66449のConvertX公式アドバイザリはどこで入手できますか？

ConvertXの公式アドバイザリは、ConvertXのウェブサイトまたは関連するセキュリティコミュニティで確認してください。

プラットフォーム

other

コンポーネント

convertx

修正版

0.16.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

ConvertXは、セルフホスト型のオンラインファイルコンバーターです。CVE-2025-66449は、バージョン0.16.0以前のConvertXにおけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は認証されたユーザーとしてシステム上の任意のファイルを書き込むことができ、バイナリを上書きしてコード実行を可能にする可能性があります。バージョン0.16.0でこの問題に対する修正がリリースされています。

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者が/uploadエンドポイントを通じてシステム上の任意のファイルを書き込めることを意味します。攻撃者は、この機能を利用して重要なシステムバイナリを悪意のあるファイルで上書きし、リモートコード実行（RCE）を達成する可能性があります。これにより、攻撃者はサーバーの完全な制御を獲得し、機密情報を盗み出し、マルウェアをインストールしたり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、特にConvertXを公開サーバー上で実行している場合に、重大なセキュリティリスクをもたらします。

悪用の状況

この脆弱性は、2025年12月16日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。CISAのKEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations running self-hosted instances of ConvertX, particularly those with limited security controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user account could potentially impact other users on the same server.

検出手順翻訳中…

• linux / server:

find /var/www/convertx -name '*convertx*' -type f -mtime +7 -print # Look for recently modified ConvertX files
journalctl -u convertx -f # Monitor ConvertX logs for suspicious upload activity

• generic web:

curl -I 'http://your-convertx-server.com/upload?file.name=../../../../etc/passwd' # Attempt path traversal

攻撃タイムライン

2025-12-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.13% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントconvertx

ベンダーC4illin

影響範囲修正版

< 0.16.0 – < 0.16.00.16.1

弱点分類 (CWE)

CWE-22 CWE-73 CWE-434

タイムライン

予約済み2025-12-01
公開日2025-12-16
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最善の対応は、ConvertXをバージョン0.16.0以降にアップデートすることです。アップデートがすぐに利用できない場合、/uploadエンドポイントへのアクセスを制限するファイアウォールルールを実装するか、Webアプリケーションファイアウォール（WAF）を使用して、悪意のあるファイル名やペイロードをブロックすることを検討してください。また、ファイルアップロードの入力を厳密に検証し、許可されたファイルタイプのみを受け入れるように設定することも有効です。アップデート後、システムを再起動し、/uploadエンドポイントに無効なファイル名をアップロードして、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice ConvertX a la versión 0.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución de código. La actualización evitará que un atacante sobrescriba archivos del sistema y ejecute código malicioso.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-66449 — パストラバーサル in ConvertXとは何ですか？