CRITICAL🇬🇧 English

CVE-2025-34299

Monsta FTP: nieuwierzytelniony upload pliku prowadzący do RCE

CVSS 9.3v4.0pub. 2025-11-07upd. 2025-12-10

Monsta FTP w wersjach 2.11 i wcześniejszych pozwala nieuwierzytelnionym atakującym na przesyłanie dowolnych plików na serwer. Podatność umożliwia zdalne wykonanie kodu (RCE) bez konieczności posiadania jakichkolwiek uprawnień.

Pokaż oryginał (EN)

Monsta FTP versions 2.11 and earlier contain a vulnerability that allows unauthenticated arbitrary file uploads. This flaw enables attackers to execute arbitrary code by uploading a specially crafted file from a malicious (S)FTP server.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-434 (unrestricted upload of file with dangerous type) polega na braku odpowiedniej weryfikacji przesyłanych plików po stronie aplikacji. Atakujący może wymusić na aplikacji pobranie i zapisanie specjalnie spreparowanego pliku z kontrolowanego przez siebie złośliwego serwera (S)FTP. Przesłany w ten sposób plik może zawierać wykonywalny payload, który następnie zostaje uruchomiony na docelowym serwerze.

Skutki

Atakujący bez żadnego uwierzytelnienia może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu (RCE). Skutkuje to potencjalnym przejęciem systemu, kradzieżą danych oraz możliwością dalszego ruchu w sieci (lateral movement).

Mitygacja

Należy niezwłocznie zaktualizować Monsta FTP do wersji nowszej niż 2.11. Szczegóły dotyczące dostępnych patchy znajdują się w oficjalnych notach producenta pod adresem https://www.monstaftp.com/notes/. Do czasu zastosowania aktualizacji należy rozważyć ograniczenie dostępu sieciowego do panelu Monsta FTP wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Monsta FTP w wersji 2.11 oraz wszystkich wcześniejszych wersjach.

Uwagi

Szczegółowa analiza techniczna podatności została opublikowana przez zespół watchTowr Labs pod adresem https://labs.watchtowr.com/whats-that-coming-over-the-hill-monsta-ftp-remote-code-execution-cve-2025-34299/.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Monstaftp Monsta Ftp

    APP
    Monstaftp
    ≤ 2.11
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2022-27468CRITICAL9.8ten sam produkt

Monstaftp v2.10.3 was discovered to contain an arbitrary file upload which allows attackers to execute arbitra...

CVE-2022-27469CRITICAL9.8ten sam produkt

Monstaftp v2.10.3 was discovered to allow attackers to execute Server-Side Request Forgery (SSRF).

CVE-2020-14056CRITICAL9.8ten sam produkt

Monsta FTP 2.10.1 or below is prone to a server-side request forgery vulnerability due to insufficient restric...

CVE-2020-14057CRITICAL9.8ten sam produkt

Monsta FTP 2.10.1 or below allows external control of paths used in filesystem operations. This allows attacke...

CVE-2020-14055MEDIUM6.1ten sam produkt

Monsta FTP 2.10.1 or below is prone to a stored cross-site scripting vulnerability in the language setting due...