CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-52562

Critical
Published: Translated: NVD NIST

Summary

Convoy to panel zarządzania serwerem KVM dla firm hostingowych. W wersjach od 3.9.0-rc3 do przed 4.4.1 występuje podatność na traversję katalogów w komponencie LocaleController, która pozwala nieautoryzowanemu atakującemu na wykonanie dowolnych plików PHP na serwerze poprzez wysłanie specjalnie skonstruowanego żądania HTTP.

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla integralności i poufności danych na serwerze. Atakujący może uzyskać pełną kontrolę nad systemem, co może skutkować utratą danych lub przerwaniem działalności.

Recommendation

Zaleca się aktualizację do wersji 4.4.1, w której problem został naprawiony. W międzyczasie warto wdrożyć rygorystyczne zasady Web Application Firewall (WAF) dla przychodzących żądań kierowanych do podatnych punktów końcowych.

Original NVD description (English source)

Convoy is a KVM server management panel for hosting businesses. In versions 3.9.0-rc3 to before 4.4.1, there is a directory traversal vulnerability in the LocaleController component of Performave Convoy. An unauthenticated remote attacker can exploit this vulnerability by sending a specially crafted HTTP request with malicious locale and namespace parameters. This allows the attacker to include and execute arbitrary PHP files on the server. This issue has been patched in version 4.4.1. A temporary workaround involves implementing strict Web Application Firewall (WAF) rules to incoming requests targeting the vulnerable endpoints.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS