Plataforma
other
Componente
convertx
Corrigido em
0.17.1
A vulnerabilidade CVE-2026-24741 é um problema de Path Traversal descoberto no ConvertX, um conversor de arquivos online auto-hospedado. Um atacante pode explorar essa falha para excluir arquivos arbitrários no servidor, comprometendo a integridade dos dados. A vulnerabilidade afeta versões do ConvertX anteriores à 0.17.0, sendo corrigida nesta versão.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante delete arquivos arbitrários no sistema de arquivos do servidor ConvertX. Ao manipular o parâmetro filename no endpoint /delete, um invasor pode utilizar sequências de path traversal (como ../) para escapar do diretório de uploads pretendido. Isso pode resultar na exclusão de arquivos de configuração críticos, arquivos de log, ou até mesmo arquivos pertencentes a outros serviços executados no mesmo servidor, dependendo das permissões do processo do servidor. A ausência de validação adequada do nome do arquivo torna a vulnerabilidade particularmente perigosa, pois não há restrições quanto aos arquivos que podem ser excluídos.
A vulnerabilidade foi divulgada em 27 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV da CISA no momento da divulgação. A ausência de um Proof of Concept (PoC) público torna a exploração mais difícil, mas a natureza da vulnerabilidade (Path Traversal) é bem compreendida e pode ser explorada por atacantes com conhecimento técnico.
Self-hosting users of ConvertX are at risk, particularly those running versions prior to 0.17.0. Shared hosting environments where ConvertX is installed may also be vulnerable if the hosting provider has not applied the necessary security updates. Users who have configured ConvertX with overly permissive file system permissions are at higher risk.
disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-24741 é a atualização imediata para a versão 0.17.0 do ConvertX, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir as permissões do usuário que executa o processo ConvertX para limitar o escopo de exclusão de arquivos. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições com sequências de path traversal no parâmetro filename pode fornecer uma camada adicional de proteção. Monitore os logs do servidor em busca de tentativas de acesso ou exclusão de arquivos suspeitos.
Actualice ConvertX a la versión 0.17.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el endpoint `/delete`. La actualización evitará que atacantes eliminen archivos arbitrarios en el sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24741 is a Path Traversal vulnerability in ConvertX versions prior to 0.17.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using ConvertX version 0.17.0 or earlier. Upgrade to 0.17.0 to mitigate the risk.
Upgrade ConvertX to version 0.17.0 or later. As a temporary workaround, restrict server permissions and implement filename validation.
There is currently no evidence of active exploitation of CVE-2026-24741.
Refer to the ConvertX project's official website or repository for the latest security advisories and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.