Plataforma
other
Componente
completepbx
Corrigido em
5.2.36
Uma vulnerabilidade de Path Traversal foi descoberta no CompletePBX, um sistema de telefonia IP. Essa falha permite que um atacante leia e exclua arquivos arbitrários através do módulo de relatórios de diagnóstico. Versões afetadas incluem todas as versões até a 5.2.35. A Xorcom lançou a versão 5.2.36 para mitigar essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade permite que um invasor obtenha acesso não autorizado a arquivos confidenciais armazenados no sistema CompletePBX. O invasor pode ler informações sensíveis, como senhas, chaves de API ou dados de configuração. Além disso, a capacidade de excluir arquivos arbitrariamente representa um risco significativo, pois pode levar à interrupção do serviço, perda de dados e até mesmo à corrupção do sistema. Um atacante poderia, por exemplo, excluir arquivos de configuração críticos, impedindo o funcionamento do sistema telefônico. A gravidade da vulnerabilidade reside na combinação de leitura e exclusão de arquivos, permitindo um controle significativo sobre o sistema.
A vulnerabilidade foi divulgada em 31 de março de 2025. Ainda não há informações sobre exploração ativa ou inclusão no KEV da CISA. Não há public proof-of-concept (PoC) amplamente disponíveis no momento, mas a natureza da vulnerabilidade de Path Traversal sugere que um PoC pode ser desenvolvido rapidamente.
Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.
• linux / server:
journalctl -u completepbx | grep -i "path traversal"• generic web:
curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
74.71% (percentil 99%)
CISA SSVC
Vetor CVSS
A correção primária para esta vulnerabilidade é atualizar o CompletePBX para a versão 5.2.36 ou superior. Se a atualização imediata não for possível, implemente medidas de mitigação temporárias. Restrinja o acesso ao módulo de relatórios de diagnóstico apenas a usuários autorizados. Considere a implementação de um Web Application Firewall (WAF) com regras para bloquear solicitações que contenham caracteres de path traversal (por exemplo, '..'). Monitore os logs do sistema em busca de tentativas de acesso não autorizado ou atividades suspeitas relacionadas ao módulo de relatórios. Após a atualização, confirme a correção verificando se o acesso a arquivos arbitrários através do módulo de relatórios de diagnóstico é bloqueado.
Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30005 is a vulnerability in CompletePBX allowing attackers to read and delete files via the Diagnostics reporting module.
If you are running CompletePBX versions 0–5.2.35, you are affected by this vulnerability.
Upgrade CompletePBX to version 5.2.36 or later to resolve the vulnerability. Consider temporary workarounds like firewall restrictions if immediate upgrade is not possible.
Active exploitation campaigns are not currently confirmed, but the vulnerability's severity warrants immediate attention.
Refer to the Xorcom security advisory page for the latest information and updates regarding CVE-2025-30005.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.