プラットフォーム
other
コンポーネント
convertx
修正版
0.17.1
CVE-2026-24741は、ConvertXというオンラインファイル変換サービスにおけるパス・トラバーサル脆弱性です。この脆弱性は、バージョン0.17.0以前のConvertXにおいて、deleteエンドポイントがファイル名パラメータの検証を不十分に行っていることに起因します。攻撃者はパス・トラバーサルシーケンスを利用して、意図されたアップロードディレクトリ外のファイルを削除することが可能です。バージョン0.17.0でこの問題が修正されました。
この脆弱性を悪用されると、攻撃者はConvertXサーバー上で任意のファイルを削除できます。特に、Webサーバーの構成ファイルや重要なシステムファイルを削除することで、サーバーの可用性を著しく損なう可能性があります。攻撃者は、アップロードディレクトリの権限範囲内で、サーバープロセスが持つ権限でファイルを削除できます。この脆弱性は、サーバーの機密情報を漏洩させたり、システムを完全に停止させる可能性を秘めています。類似の脆弱性は、ファイルアップロード機能を持つWebアプリケーションで頻繁に見られます。
このCVEは2026年1月27日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することをお勧めします。
Self-hosting users of ConvertX are at risk, particularly those running versions prior to 0.17.0. Shared hosting environments where ConvertX is installed may also be vulnerable if the hosting provider has not applied the necessary security updates. Users who have configured ConvertX with overly permissive file system permissions are at higher risk.
disclosure
エクスプロイト状況
EPSS
0.13% (32% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずConvertXをバージョン0.17.0以降にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)を使用して、POST /deleteエンドポイントへの不正なリクエストをブロックすることを検討してください。また、ファイル名パラメータの検証を強化するカスタムルールを実装することも有効です。ファイルシステムの権限設定を見直し、Webサーバープロセスが不要なファイルにアクセスできないように制限することも重要です。アップデート後、ファイル削除機能が正常に動作することを確認してください。
Actualice ConvertX a la versión 0.17.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el endpoint `/delete`. La actualización evitará que atacantes eliminen archivos arbitrarios en el sistema.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24741は、ConvertXのバージョン0.17.0以前における、deleteエンドポイントを悪用してファイルシステム上の任意のファイルを削除できる脆弱性です。
ConvertXのバージョンが0.17.0以前の場合は、この脆弱性の影響を受けます。バージョン0.17.0以降にアップデートすることで、脆弱性を解消できます。
ConvertXをバージョン0.17.0以降にアップデートしてください。アップデートが難しい場合は、WAFルールでdeleteエンドポイントへの不正なリクエストをブロックすることを検討してください。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。
ConvertXの公式ウェブサイトまたはGitHubリポジトリでアドバイザリをご確認ください。