Convoy 是一个为托管提供商构建的现代 KVM 服务器管理面板，其中新披露的漏洞已获得最高严重性评级 CVSS 10.0，可能允许未经身份验证的攻击者在受影响的服务器上实现远程代码执行 （RCE）。

该漏洞被确定为 CVE-2025-52562，存在于 LocaleController 组件中，影响从 3.9.0-rc.3 到 4.4.0 的所有版本。

“未经身份验证的远程攻击者可以通过发送带有恶意区域设置和命名空间参数的特制 HTTP 请求来利用此漏洞，”该公告解释说。

攻击媒介取决于一种经典但具有破坏性的技术：目录遍历。通过滥用对 locale 和 namespace 参数的不充分输入验证，远程攻击者可以构建一个请求，使服务器包含任意 PHP 文件。

“这允许攻击者在服务器上包含和执行任意 PHP 文件，”该公告警告说。

成功利用此漏洞后，攻击者将获得：

完整 RCE：使用服务器级权限远程执行恶意代码。敏感数据泄露：包括包含数据库凭证、API 密钥和其他密钥的 .env 配置文件。

Convoy 团队迅速采取行动修补了这个问题。版本 4.4.1 及更高版本中提供了修复程序。

对于无法立即更新的用户，可以通过严格的 Web 应用程序防火墙 （WAF） 规则进行临时缓解。此公告提供以下指导：

对于参数：locale对于参数：namespace
拒绝任何包含或 URL 编码等效项的输入。..仅接受 A-Z、a-z、、 和 space 中的字符。_.强制要求长度介于 1 到 191 个字符之间。