Kritik konvoy güvenlik açığı, saldırganların etkilenen sunucularda uzaktan kodu yürütmesine izin ver

Performans konvoyunda, kimlik doğrulanmamış uzak saldırganların etkilenen sunucularda keyfi kod yürütmesine izin veren kritik bir güvenlik açığı keşfedilmiştir.

CVE-2025-52562 olarak tanımlanan güvenlik açığı, konvoypanel/panel paketinin 3.9.0-rc.3 ila 4.4.0 arasındaki tüm sürümleri etkiler.

Güvenlik araştırmacısı Anushk-Fro, beş gün önce güvenlik açığını bildirdi ve mükemmel bir CVSS puanı 10.0/10 ile kritik bir şiddet derecesi aldı ve mümkün olan en yüksek tehdit seviyesini gösterdi.

Güvenlik açığı 4.4.1 sürümünde yamalanmıştır ve tüm kullanıcıların derhal yükseltmeleri şiddetle tavsiye edilir.

Summary
1. A directory traversal vulnerability (CVE-2025-52562) in Performave Convoy's LocaleController allows unauthenticated attackers to execute arbitrary code on servers.
2. All Convoy installations from version 3.9.0-rc.3 through 4.4.0 are affected, making this a significant security concern for the entire user base.
3. Successful exploitation grants attackers complete server control, access to sensitive files like database credentials and API keys, and potential for lateral network movement.
4. Users must upgrade to version 4.4.1 or later immediately, with temporary WAF rules as the only alternative mitigation for those unable to patch instantly.

Dizin geçişi uzaktan kod yürütülmesini sağlar

Güvenlik açığı, Uzak Kod Yürütülmesine (CWE-98) yol açabilecek bir dizin geçiş sorunu (CWE-22) olarak sınıflandırılan Performans Konvoyunun yerel bileşen bileşeninde bulunur.

Saldırganlar, yerel ve ad alanı parametrelerinde kötü amaçlı değerler içeren özel hazırlanmış HTTP istekleri göndererek bu güvenlik açığını kullanabilir.

Teknik sömürü, bu parametrelerin amaçlanan kapsamın dışındaki dizinleri geçmeye yönlendirilmesini içerir:

Bu, saldırganların sunucuya keyfi PHP dosyalarını dahil etmesine ve yürütmesine, kimlik doğrulama mekanizmalarını etkili bir şekilde atlamasına ve uygulamanın yürütme ortamı üzerinde tam kontrol edinmesine olanak tanır.

Dizin geçiş tekniği, saldırganların hassas sistem dosyalarına erişmek için ../../../ gibi yol dizilerini kullanarak amaçlanan dizin yapısı dışındaki dosyalara başvurmalarını sağlar.

Etkilenen sistemler

Güvenlik açığı, 3.9.0-rc.3 ila 4.4.0 sürümlerini çalıştıran tüm Performans Konvoy kurulumlarını etkiler.

Etki, kimlik doğrulama veya kullanıcı etkileşimi gerektirmediğinden, düşük saldırı karmaşıklığına sahip olduğu ve bir ağ üzerinden uzaktan yürütülebileceği için özellikle şiddetlidir.

Başarılı bir sömürü, birden fazla kritik güvenlik ihlaline yol açar:

• Uygulama Sunucusunda Tam Uzaktan Kod Yürütme (RCE)
• .Env dosyaları dahil hassas yapılandırma dosyalarına erişim
• Veritabanı kimlik bilgilerinin ve API anahtarlarının pozlanması
• İç ağlardaki potansiyel yanal hareket

CVSS taban metrikleri şiddetin altını çiziyor: ağ saldırısı vektörü, düşük karmaşıklık, ayrıcalıklar gerekmiyor, kullanıcı etkileşimi yok, kapsam ve gizlilik, bütünlük ve kullanılabilirlik arasında yüksek etki (CVSS: n/ui: n/h: c/c: h/i: h/h/h/h/i: h/h/h).

Hafifletme

Konvoypanel, bu güvenlik açığını ele almak için 4.4.1 sürümünü yayınladı. Hemen yükseltme tek resmi ve önerilen çözümdür.

Hemen yükseltemeyen kuruluşlar için, Web Uygulaması Güvenlik Duvarı (WAF) kuralları aracılığıyla geçici azaltma önerilir.

WAF kuralları, savunmasız parametreler üzerinde sıkı bir doğrulama uygulamalıdır:

• Yerel parametre tam olarak “en_us en”
• Ad alanı parametresi içermemelidir .. diziler veya url kodlu varyantlar
• Yalnızca alfasayısal karakterlere, alt çizgilere, periyotlara ve ad alanlarındaki boşluklara izin verin
• Ad alanı parametre uzunluğunu 1 ile 191 arasında sınırlayın

Güvenlik uzmanları, bu hafifletmelerin sadece geçici önlemler olarak kabul edilmesi gerektiğini vurgulamaktadır ve tam yama bu kritik güvenlik açığı için kesin bir çözüm kalır.

Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial