聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
文件传输软件 CompleteFTP 中存在一个漏洞,可导致未认证攻击者删除受影响安装程序上的任意文件。
CompleteFTP 由澳大利亚公司 EnterpriseDT 开发,它是适用于 Windows 系统的专有 FTP 和 SFTP 服务器,支持FTPS、SFTP和HTTPS。
昵称为 “rgod” 的安全研究员从 HttpFile 类中发现一个漏洞,是因为在将用户提供的路径用于文件操作前缺乏正确验证造成的。
安全公告指出,“该漏洞可导致远程攻击者删除 EnterpriseDT CompleteFTP服务器上受影响安装程序上的任意文件。攻击者可利用该漏洞删除系统上下文中的文件。”
该漏洞的编号为CVE-2022-2560,已在 CompleteFTP 版本22.1.1中修复。修复版本中包括其它安全增强功能,这些增强以RSA签名的SHA-2加密哈希函数的形式和 PuTTY 私钥的新格式体现。
目前 EnterpriseDT 尚未置评。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
UnRAR二进制中出现路径遍历缺陷,可导致在Zimbra上执行远程代码
开源容器化应用 Kubernetes 被曝严重的路径遍历漏洞
原文链接
https://portswigger.net/daily-swig/completeftp-path-traversal-flaw-allowed-attackers-to-delete-server-files
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~