Plataforma
other
Componente
convertx
Corrigido em
0.16.1
A vulnerabilidade CVE-2025-66449 é uma falha de Path Traversal identificada no ConvertX, um conversor de arquivos online auto-hospedado. Essa falha permite que usuários autenticados escrevam arquivos arbitrários no sistema, possibilitando a sobreescrita de binários e, consequentemente, a execução de código malicioso. A vulnerabilidade afeta versões do ConvertX anteriores a 0.16.0, e uma correção foi implementada na versão 0.16.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, após autenticação, escreva arquivos arbitrários no sistema de arquivos do servidor ConvertX. Isso pode ser usado para sobreescrever binários críticos do sistema com versões maliciosas fornecidas pelo atacante, resultando em execução remota de código (RCE) e controle total sobre o servidor. O impacto é severo, pois um atacante pode comprometer a integridade do sistema e roubar dados confidenciais. A capacidade de sobreescrever binários é comparável a cenários de escalada de privilégios e comprometimento completo do sistema.
A vulnerabilidade foi divulgada em 2025-12-16. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente conhecido, mas a natureza da vulnerabilidade (Path Traversal com potencial de RCE) a torna um alvo atraente para exploração. É recomendado monitorar ativamente a situação e implementar as medidas de mitigação recomendadas.
Organizations running self-hosted instances of ConvertX, particularly those with limited security controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user account could potentially impact other users on the same server.
• linux / server:
find /var/www/convertx -name '*convertx*' -type f -mtime +7 -print # Look for recently modified ConvertX files
journalctl -u convertx -f # Monitor ConvertX logs for suspicious upload activity• generic web:
curl -I 'http://your-convertx-server.com/upload?file.name=../../../../etc/passwd' # Attempt path traversaldisclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-66449 é a atualização imediata para a versão 0.16.0 do ConvertX, que inclui a correção para a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir as permissões de escrita para o diretório de uploads e implementar uma validação rigorosa dos nomes de arquivos enviados. Monitore os logs do sistema em busca de tentativas de escrita de arquivos em locais inesperados. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com caminhos de arquivo suspeitos pode ajudar a mitigar o risco.
Actualice ConvertX a la versión 0.16.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución de código. La actualización evitará que un atacante sobrescriba archivos del sistema y ejecute código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-66449 is a Path Traversal vulnerability in ConvertX versions prior to 0.16.0, allowing authenticated users to write arbitrary files and potentially achieve code execution.
You are affected if you are running ConvertX version 0.16.0 or earlier. Check your version and upgrade immediately.
Upgrade ConvertX to version 0.16.0 or later. As a temporary workaround, restrict file upload permissions and implement WAF rules.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the ConvertX project's official website or GitHub repository for the latest security advisories and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.