Proftpd · Proftpd · CVE-2026-42167
**Nome do Software Vulnerável e Versões Afetadas**
ProFTPD versões anteriores a 1.3.10rc1
**Descrição**
Uma falha no módulo `mod sql` permite que atacantes remotos não autenticados ignorem a autenticação e executem código arbitrário. O problema decorre da falta de proteção nas estruturas de consulta SQL, especificamente ao registrar solicitações `USER` usando expansões como `%U`. Se o backend SQL suportar a execução de comandos (por exemplo, `COPY TO PROGRAM`), um atacante pode usar um `username` manipulado para quebrar strings SQL e executar comandos no nível do sistema operacional. Estima-se que mais de 162.000 instâncias expostas à internet estejam em risco.
**Recomendações**
Atualize para a versão 1.3.10rc1.