MiCode FileExplorer zawiera podatność authentication bypass w wbudowanym serwerze FTP SwiFTP, umożliwiającą atakującemu sieciowemu zalogowanie się bez prawidłowych danych uwierzytelniających. Luka jest krytyczna — nie wymaga żadnych uprawnień ani interakcji użytkownika, a atakujący uzyskuje pełny dostęp do plików udostępnionych przez serwer FTP.
▸ Pokaż oryginał (EN)
MiCode FileExplorer contains an authentication bypass vulnerability in the embedded SwiFTP FTP server component that allows network attackers to log in without valid credentials. Attackers can send arbitrary username and password combinations to the PASS command handler, which unconditionally grants access and allows listing, reading, writing, and deleting files exposed by the FTP server. The MiCode/Explorer open source project has reached end-of-life status.
Handler polecenia PASS w serwerze SwiFTP bezwarunkowo przyznaje dostęp niezależnie od przesłanej nazwy użytkownika i hasła — dowolna kombinacja danych logowania zostaje zaakceptowana. Atakujący sieciowy może wysłać dowolne ciągi znaków jako dane uwierzytelniające, a serwer FTP zaloguje go bez weryfikacji. Jest to naruszenie zarówno poprawnej implementacji mechanizmu uwierzytelniania (CWE-303), jak i egzekwowania kontroli dostępu (CWE-862).
Atakujący uzyskuje nieautoryzowany dostęp do serwera FTP i może swobodnie listować, odczytywać, zapisywać oraz usuwać pliki udostępnione przez serwer, co prowadzi do ujawnienia lub utraty danych przechowywanych na urządzeniu.
Projekt MiCode/Explorer osiągnął status end-of-life — producent nie przewiduje wydania patcha. Zaleca się natychmiastowe zaprzestanie używania wbudowanego serwera FTP SwiFTP oraz odinstalowanie aplikacji lub zastąpienie jej aktywnie utrzymywanym alternatywnym menedżerem plików. Jako środek tymczasowy należy zablokować dostęp sieciowy do portu FTP używanego przez aplikację za pomocą firewalla lub izolacji sieciowej urządzenia.
MiCode FileExplorer (Xiaomi FileExplorer) z wbudowanym komponentem serwera FTP SwiFTP. Projekt MiCode/Explorer osiągnął status end-of-life i nie będzie otrzymywał dalszych aktualizacji bezpieczeństwa.
Projekt MiCode/Explorer osiągnął status end-of-life, co oznacza brak możliwości uzyskania oficjalnej poprawki. Informacja ta pochodzi bezpośrednio z opisu podatności.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XXiaomi Fileexplorer
APPXiaomiwszystkie wersje