CRITICAL🇬🇧 English

CVE-2026-29515

Pominięcie uwierzytelniania w serwerze FTP Xiaomi FileExplorer (SwiFTP)

CVSS 9.3v4.0pub. 2026-03-11upd. 2026-05-07

MiCode FileExplorer zawiera podatność authentication bypass w wbudowanym serwerze FTP SwiFTP, umożliwiającą atakującemu sieciowemu zalogowanie się bez prawidłowych danych uwierzytelniających. Luka jest krytyczna — nie wymaga żadnych uprawnień ani interakcji użytkownika, a atakujący uzyskuje pełny dostęp do plików udostępnionych przez serwer FTP.

Pokaż oryginał (EN)

MiCode FileExplorer contains an authentication bypass vulnerability in the embedded SwiFTP FTP server component that allows network attackers to log in without valid credentials. Attackers can send arbitrary username and password combinations to the PASS command handler, which unconditionally grants access and allows listing, reading, writing, and deleting files exposed by the FTP server. The MiCode/Explorer open source project has reached end-of-life status.

🤖 Analiza AI
Jak działa

Handler polecenia PASS w serwerze SwiFTP bezwarunkowo przyznaje dostęp niezależnie od przesłanej nazwy użytkownika i hasła — dowolna kombinacja danych logowania zostaje zaakceptowana. Atakujący sieciowy może wysłać dowolne ciągi znaków jako dane uwierzytelniające, a serwer FTP zaloguje go bez weryfikacji. Jest to naruszenie zarówno poprawnej implementacji mechanizmu uwierzytelniania (CWE-303), jak i egzekwowania kontroli dostępu (CWE-862).

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do serwera FTP i może swobodnie listować, odczytywać, zapisywać oraz usuwać pliki udostępnione przez serwer, co prowadzi do ujawnienia lub utraty danych przechowywanych na urządzeniu.

Mitygacja

Projekt MiCode/Explorer osiągnął status end-of-life — producent nie przewiduje wydania patcha. Zaleca się natychmiastowe zaprzestanie używania wbudowanego serwera FTP SwiFTP oraz odinstalowanie aplikacji lub zastąpienie jej aktywnie utrzymywanym alternatywnym menedżerem plików. Jako środek tymczasowy należy zablokować dostęp sieciowy do portu FTP używanego przez aplikację za pomocą firewalla lub izolacji sieciowej urządzenia.

Kogo dotyczy

MiCode FileExplorer (Xiaomi FileExplorer) z wbudowanym komponentem serwera FTP SwiFTP. Projekt MiCode/Explorer osiągnął status end-of-life i nie będzie otrzymywał dalszych aktualizacji bezpieczeństwa.

Uwagi

Projekt MiCode/Explorer osiągnął status end-of-life, co oznacza brak możliwości uzyskania oficjalnej poprawki. Informacja ta pochodzi bezpośrednio z opisu podatności.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Xiaomi Fileexplorer

    APP
    Xiaomi
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2011-4697MEDIUM6.4ten sam vendor

The Xiaomi MiTalk Messenger (com.xiaomi.channel) application before 2.1.320 for Android does not properly prot...