CompletePBX 的诊断报告模块存在路径遍历漏洞 (CVE-2025-30005)。该漏洞允许攻击者读取系统上的任意文件,并能够删除读取的文件,造成潜在的数据泄露和系统破坏。此漏洞影响 CompletePBX 的 0 到 5.2.35 版本。已发布安全补丁,建议尽快升级。
攻击者利用此路径遍历漏洞可以读取 CompletePBX 服务器上的敏感文件,例如配置文件、数据库备份、用户凭证等。更严重的是,攻击者还可以删除读取的文件,导致系统功能失效或数据丢失。由于 CompletePBX 通常用于企业通信,因此该漏洞可能导致企业内部信息泄露、服务中断,甚至可能被用于进一步的攻击,例如横向移动到其他系统。该漏洞的潜在影响范围取决于 CompletePBX 在网络中的位置和配置,以及服务器上存储的数据敏感性。
目前尚未观察到大规模的利用此漏洞的活动,但由于漏洞的严重性和易于利用,预计未来可能会出现攻击。该漏洞已公开披露,存在公开的利用方法,因此攻击者可能已经开始利用该漏洞。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.
• linux / server:
journalctl -u completepbx | grep -i "path traversal"• generic web:
curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
74.71% (99% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 CompletePBX 升级至 5.2.36 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制对诊断报告模块的访问,仅允许授权用户访问;配置防火墙规则,阻止对诊断报告模块的恶意请求;监控系统日志,检测异常的文件访问和删除行为。升级后,请验证诊断报告模块是否正常工作,并检查系统日志中是否存在异常活动。
Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-30005 是 CompletePBX 诊断报告模块中的一个路径遍历漏洞,允许攻击者读取和删除服务器上的任意文件。
如果您正在使用 CompletePBX 的 0 到 5.2.35 版本,则您可能受到此漏洞的影响。
请立即将 CompletePBX 升级至 5.2.36 或更高版本。
虽然目前尚未观察到大规模利用,但由于漏洞的严重性,预计未来可能会出现攻击。
请访问 Xorcom 官方网站或 CompletePBX 的安全公告页面,查找有关 CVE-2025-30005 的详细信息。