Katalog CVE

CVE-2025-52562

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Convoy to panel zarządzania serwerem KVM dla firm hostingowych. W wersjach od 3.9.0-rc3 do przed 4.4.1 występuje podatność na traversję katalogów w komponencie LocaleController, która pozwala nieautoryzowanemu atakującemu na wykonanie dowolnych plików PHP na serwerze poprzez wysłanie specjalnie skonstruowanego żądania HTTP.

Ocena ryzyka

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla integralności i poufności danych na serwerze. Atakujący może uzyskać pełną kontrolę nad systemem, co może skutkować utratą danych lub przerwaniem działalności.

Rekomendacja

Zaleca się aktualizację do wersji 4.4.1, w której problem został naprawiony. W międzyczasie warto wdrożyć rygorystyczne zasady Web Application Firewall (WAF) dla przychodzących żądań kierowanych do podatnych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Convoy is a KVM server management panel for hosting businesses. In versions 3.9.0-rc3 to before 4.4.1, there is a directory traversal vulnerability in the LocaleController component of Performave Convoy. An unauthenticated remote attacker can exploit this vulnerability by sending a specially crafted HTTP request with malicious locale and namespace parameters. This allows the attacker to include and execute arbitrary PHP files on the server. This issue has been patched in version 4.4.1. A temporary workaround involves implementing strict Web Application Firewall (WAF) rules to incoming requests targeting the vulnerable endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS