Carsten Sandker

**Nome do software vulnerável e versões afetadas** MELAG FTP Server versão 2.2.0.4 **Descrição** Uma falha de enumeração de usuários permite que um invasor identifique nomes de usuário FTP válidos. **Recomendações** Para o MELAG FTP Server versão 2.2.0.4, considere restringir o acesso ao servidor FTP até que uma correção esteja disponível. Como solução temporária, limite as informações divulgadas pelo servidor em resposta a tentativas de login inválidas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MELAG FTP Server versão 2.2.0.4 **Descrição** A vulnerabilidade permite que invasores remotos explorem configurações incorretas ou vulnerabilidades para obter acesso administrativo a todo o sistema host quando o MELAG FTP Server está instalado como um serviço do Windows e é executado como usuário SYSTEM. **Recomendações** Para o MELAG FTP Server versão 2.2.0.4, considere executar o serviço sob uma conta de usuário com menos privilégios para minimizar o risco de exploração. Além disso, revise e corrija quaisquer configurações incorretas para evitar o abuso de vulnerabilidades. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MELAG FTP Server versão 2.2.0.4 **Descrição** A vulnerabilidade permite que um invasor utilize o comando CWD para sair do diretório raiz do servidor FTP e realizar operações em todo o sistema operacional. Aplicam-se as restrições de acesso do usuário que executa o servidor FTP. **Recomendações** Para o MELAG FTP Server versão 2.2.0.4, considere restringir o acesso ao comando CWD como uma solução temporária até que uma correção esteja disponível. Além disso, certifique-se de que o servidor FTP seja executado com o mínimo de privilégios necessários para minimizar o impacto de uma possível exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MELAG FTP Server versão 2.2.0.4 **Descrição** O problema diz respeito a permissões de controle de acesso fracas que permitem que o grupo “Todos” leia o arquivo de configuração FTP local. Esse arquivo contém senhas não criptografadas de todos os usuários FTP, entre outras informações. **Recomendações** Para o MELAG FTP Server versão 2.2.0.4, considere restringir o acesso ao arquivo de configuração FTP local para impedir a leitura não autorizada de informações confidenciais, incluindo senhas não criptografadas, até que um patch ou correção esteja disponível. Como solução temporária, restrinja as permissões do grupo “Everyone” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** MELAG FTP Server versão 2.2.0.4 **Descrição** As verificações de autenticação do MELAG FTP Server são incompletas, permitindo que um invasor remoto acesse arquivos locais utilizando um nome de usuário válido. **Recomendações** Para a versão 2.2.0.4, considere restringir o acesso ao servidor FTP até que uma correção esteja disponível e certifique-se de que todos os nomes de usuário e senhas sejam gerenciados com segurança para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MELAG FTP Server versão 2.2.0.4 **Descrição** O problema diz respeito ao armazenamento de senhas não criptografadas de usuários FTP em um arquivo de configuração local. **Recomendações** Para o MELAG FTP Server versão 2.2.0.4, considere atualizar a configuração para criptografar as senhas armazenadas ou restringir o acesso ao arquivo de configuração, a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.