Se ha descubierto una vulnerabilidad de seguridad crítica en el convoy de Performave que permite a los atacantes remotos no autenticados ejecutar el código arbitrario en los servidores afectados.
La vulnerabilidad, identificada como CVE-2025-52562, afecta todas las versiones de 3.9.0-RC.3 a 4.4.0 del paquete ConvoyPanel/Panel.
El investigador de seguridad Anushk-Fro informó la vulnerabilidad hace cinco días, recibiendo una calificación de gravedad crítica con un puntaje CVSS perfecto de 10.0/10, lo que indica el nivel de amenaza más alto posible.
La vulnerabilidad se ha parcheado en la versión 4.4.1, y se recomienda encarecidamente a todos los usuarios que actualicen de inmediato.
Resumen 1. Una vulnerabilidad transversal de directorio (CVE-2025-52562) en el LocalEcontroller local de Performave Convoy permite a los atacantes no autenticados ejecutar código arbitrario en los servidores. 2. Todas las instalaciones de convoy de la versión 3.9.0-RC.3 a 4.4.0 se ven afectadas, lo que hace que sea una preocupación de seguridad significativa para toda la base de usuarios. 3. 4. Los usuarios deben actualizarse a la versión 4.4.1 o más tarde inmediatamente, con las reglas de WAF temporales como la única mitigación alternativa para aquellos que no pueden parchear al instante.
El traversal del directorio habilita la ejecución del código remoto
La vulnerabilidad existe en el componente LocalEcontroller de Performave Convoy, clasificado como un problema transversal del directorio (CWE-22) que puede conducir a la ejecución de código remoto (CWE-98).
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes HTTP especialmente elaboradas que contienen valores maliciosos en los parámetros locales y del espacio de nombres.
La explotación técnica implica manipular estos parámetros para atravesar directorios fuera del alcance previsto:
Esto permite a los atacantes incluir y ejecutar archivos PHP arbitrarios en el servidor, sin pasar por alto los mecanismos de autenticación y obteniendo un control completo sobre el entorno de ejecución de la aplicación.
La técnica de recorrido del directorio permite a los atacantes hacer referencia a archivos fuera de la estructura del directorio prevista utilizando secuencias de ruta como ../../../ para acceder a archivos del sistema confidencial.
Factores de riesgo Details Affected ProductsConVoyPanel/Panel (Performave Convoy) Versiones: 3.9.0-rc.3 a 4.4.0ImimpacTremote Code Ejecution (RCE) Exploten requisitos previos- Acceso a la red a Servidor vulnerable- No se requiere autenticación 3. No se necesita interacción de usuario- Solicitud de complejidad de bajo ataque- Solicitud de HTTP con malcia
Sistemas afectados
La vulnerabilidad afecta a todas las instalaciones de Convoy de Performave que ejecutan las versiones 3.9.0-RC.3 a 4.4.0.
El impacto es particularmente severo, ya que no requiere autenticación ni interacción del usuario, tiene baja complejidad de ataque y puede ejecutarse de forma remota a través de una red.
La explotación exitosa conduce a múltiples violaciones de seguridad críticas:
Complete la ejecución del código remoto (RCE) en el servidor de aplicaciones Acceso a archivos de configuración confidenciales, incluidos los archivos .env, exposición de credenciales de base de datos y claves API potencial movimiento lateral dentro de las redes internas
Las métricas de base de CVSS subrayan la gravedad: vector de ataque de red, baja complejidad, no se requieren privilegios, sin interacción del usuario, alcance cambiado y alto impacto en la confidencialidad, integridad y disponibilidad (CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: C/C: H/I: H/A: H).
Mitigaciones
Convoypanel ha lanzado la versión 4.4.1 para abordar esta vulnerabilidad. La actualización inmediata es la única solución oficial y recomendada.
Para las organizaciones que no pueden actualizar de inmediato, se recomienda mitigación temporal a través de reglas de firewall de aplicaciones web (WAF).
Las reglas de WAF deben hacer cumplir una validación estricta en los parámetros vulnerables:
El parámetro locale debe coincidir exactamente con “en_us en” El parámetro del espacio de nombres no debe contener. Las secuencias o las variantes codificadas por URL solo permiten caracteres alfanuméricos, subrayos, períodos y espacios en la longitud del parámetro del espacio de nombres del espacio de nombres a entre 1 y 191 caracteres
Los expertos en seguridad enfatizan que estas mitigaciones deben considerarse solo medidas temporales, y los parches completos permanecen la solución definitiva a esta vulnerabilidad crítica de seguridad.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
