Platform
other
Component
completepbx
Opgelost in
5.2.36
CompletePBX, een VoIP-platform, vertoont een Path Traversal kwetsbaarheid in de Diagnostics rapportagemodule. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op het systeem te lezen en deze te verwijderen, in plaats van het verwachte rapport te genereren. De kwetsbaarheid beïnvloedt alle versies van CompletePBX tot en met 5.2.35. Een patch is beschikbaar in versie 5.2.36.
De Path Traversal kwetsbaarheid in CompletePBX stelt een aanvaller in staat om gevoelige informatie te onthullen door willekeurige bestanden op het systeem te lezen. Dit kan configuratiebestanden, wachtwoorden, API-sleutels of andere vertrouwelijke gegevens omvatten. Bovendien kan de aanvaller bestanden verwijderen, wat kan leiden tot systeeminstabiliteit of serviceonderbrekingen. De impact is aanzienlijk, aangezien een succesvolle exploitatie kan leiden tot volledige controle over het CompletePBX-systeem en mogelijk toegang tot het onderliggende netwerk. Dit is vergelijkbaar met scenario's waarbij configuratiebestanden worden gelekt en misbruikt om verdere toegang te krijgen.
CVE-2025-30005 is openbaar bekend gemaakt op 2025-03-31. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Het ontbreken van een EPSS score duidt op een onzekere waarschijnlijkheid van exploitatie, maar de Path Traversal aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven.
Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.
• linux / server:
journalctl -u completepbx | grep -i "path traversal"• generic web:
curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
74.71% (99% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-30005 is het upgraden van CompletePBX naar versie 5.2.36 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Diagnostics rapportagemodule via een firewall of WAF. Configureer de WAF om verzoeken met potentieel schadelijke paden te blokkeren, zoals verzoeken die dubbele slashes (//) of padtransversaalsequenties (../) bevatten. Controleer de CompletePBX-configuratie op onnodige toegangsrechten en beperk deze tot het minimum. Na de upgrade, verifieer de correcte werking van de Diagnostics rapportagemodule en controleer de systeemlogboeken op verdachte activiteiten.
Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30005 is a vulnerability in CompletePBX allowing attackers to read and delete files via the Diagnostics reporting module.
If you are running CompletePBX versions 0–5.2.35, you are affected by this vulnerability.
Upgrade CompletePBX to version 5.2.36 or later to resolve the vulnerability. Consider temporary workarounds like firewall restrictions if immediate upgrade is not possible.
Active exploitation campaigns are not currently confirmed, but the vulnerability's severity warrants immediate attention.
Refer to the Xorcom security advisory page for the latest information and updates regarding CVE-2025-30005.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.