CVE-2026-24741: Schwachstelle in ConvertX-Dateikonverter erlaubt Dateilöschungen

Zusammenfassung

Die Schwachstelle in der Online-Dateikonvertierungs-Software ConvertX ermöglichte es Angreifern, über die `POST /delete`-Schnittstelle beliebige Dateien außerhalb des Uploadverzeichnisses zu löschen. Dies war möglich, da die Software die vom Nutzer übergebenen Dateinamen unzureichend überprüfte. Mit Hilfe von Path-Traversal-Techniken konnten Angreifer so sensible Dateien basierend auf den Berechtigungen der Anwendung löschen. Das Problem wurde in Version 0.17.0 behoben.

C4illin - Convertx - HIGH - CVE-2026-24741. ConvertX, a self-hosted online file converter, has a vulnerability that allows an attacker to exploit the `POST /delete` endpoint. In versions prior to 0.17.0, user-controlled `filename` values were improperly used to create filesystem paths, allowing for arbitrary file deletions outside of the designated upload directory. By leveraging path traversal sequences, attackers can manipulate the server to delete sensitive files based on the application's permission settings. Version 0.17.0 resolves this issue by implementing necessary validations.