Platform
other
Component
convertx
Opgelost in
0.17.1
CVE-2026-24741 describes a Path Traversal vulnerability discovered in ConvertX, a self-hosted online file converter. This flaw allows attackers to delete arbitrary files on the server by manipulating the filename parameter in the /delete endpoint. The vulnerability impacts versions of ConvertX prior to 0.17.0, and a patch has been released to address the issue.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ernstige gevolgen. Aanvallers kunnen gevoelige configuratiebestanden, logbestanden of zelfs kritieke systeemcomponenten verwijderen, wat resulteert in een denial-of-service of potentieel compromittering van de hele server. De impact is vergelijkbaar met scenario's waarbij aanvallers toegang krijgen tot de onderliggende bestandsstructuur van de server en deze kunnen manipuleren. De beperking van de kwetsbaarheid is afhankelijk van de permissies van de server process, maar de potentiële schade is aanzienlijk.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-01-27. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De EPSS score is momenteel niet bekend, maar gezien de openbare bekendmaking en de eenvoud van de exploitatie, is een medium tot hoog risico waarschijnlijk.
Self-hosting users of ConvertX are at risk, particularly those running versions prior to 0.17.0. Shared hosting environments where ConvertX is installed may also be vulnerable if the hosting provider has not applied the necessary security updates. Users who have configured ConvertX with overly permissive file system permissions are at higher risk.
disclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24741 is het upgraden van ConvertX naar versie 0.17.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de permissies van de server process om de impact van een succesvolle exploitatie te minimaliseren. Controleer ook de configuratie van de webserver om te zorgen voor een minimale aanwezige exposure van de /delete endpoint. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze kwetsbaarheid, maar het monitoren van bestandstoegangspatronen en onverwachte bestandverwijderingen is aan te raden.
Actualice ConvertX a la versión 0.17.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el endpoint `/delete`. La actualización evitará que atacantes eliminen archivos arbitrarios en el sistema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24741 is a Path Traversal vulnerability in ConvertX versions prior to 0.17.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using ConvertX version 0.17.0 or earlier. Upgrade to 0.17.0 to mitigate the risk.
Upgrade ConvertX to version 0.17.0 or later. As a temporary workaround, restrict server permissions and implement filename validation.
There is currently no evidence of active exploitation of CVE-2026-24741.
Refer to the ConvertX project's official website or repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.