Platform
other
Component
convertx
Opgelost in
0.16.1
CVE-2025-66449 beschrijft een Path Traversal kwetsbaarheid in ConvertX, een self-hosted online file converter. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om willekeurige bestanden op het systeem te schrijven, waardoor binaries kunnen worden overschreven en code-uitvoering mogelijk wordt. De kwetsbaarheid treft versies van ConvertX die kleiner of gelijk zijn aan 0.16.0. Een patch is beschikbaar in versie 0.16.0.
De impact van deze Path Traversal kwetsbaarheid is significant. Een aanvaller kan, na authenticatie, willekeurige bestanden uploaden en opslaan op het systeem. Dit omvat het overschrijven van cruciale systeem binaries. Door deze binaries te vervangen met kwaadaardige versies, kan de aanvaller volledige code-uitvoering verkrijgen op de server waarop ConvertX draait. Dit kan leiden tot volledige controle over het systeem, data-exfiltratie en verdere aanvallen op andere systemen binnen het netwerk. Het potentieel voor laterale beweging is hoog, aangezien de aanvaller de gecompromitteerde server kan gebruiken als springplank voor verdere exploitatie.
Op dit moment is er geen publieke exploitatie van CVE-2025-66449 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-12-16. De CVSS score van 8.8 (HIGH) duidt op een aanzienlijk risico. Er is geen vermelding op de CISA KEV catalogus op dit moment. Het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, aangezien het een relatief eenvoudige manier is om code-uitvoering te verkrijgen.
Organizations running self-hosted instances of ConvertX, particularly those with limited security controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user account could potentially impact other users on the same server.
• linux / server:
find /var/www/convertx -name '*convertx*' -type f -mtime +7 -print # Look for recently modified ConvertX files
journalctl -u convertx -f # Monitor ConvertX logs for suspicious upload activity• generic web:
curl -I 'http://your-convertx-server.com/upload?file.name=../../../../etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-66449 is het upgraden van ConvertX naar versie 0.16.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die toegang heeft tot de /upload endpoint. Implementeer strikte bestandsnaamvalidatie op de server om te voorkomen dat willekeurige bestandsnamen worden geaccepteerd. Controleer de toegangsrechten op de server om te zorgen dat de ConvertX-gebruiker geen schrijfrechten heeft op kritieke systeemlocaties. Na de upgrade, controleer de logbestanden op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door een testupload met een kwaadaardige bestandsnaam.
Actualice ConvertX a la versión 0.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución de código. La actualización evitará que un atacante sobrescriba archivos del sistema y ejecute código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-66449 is a Path Traversal vulnerability in ConvertX versions prior to 0.16.0, allowing authenticated users to write arbitrary files and potentially achieve code execution.
You are affected if you are running ConvertX version 0.16.0 or earlier. Check your version and upgrade immediately.
Upgrade ConvertX to version 0.16.0 or later. As a temporary workaround, restrict file upload permissions and implement WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the ConvertX project's official website or GitHub repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.