PT-2020-19269 · Carbonftp · Carbonftp
Hyp3Rlinx
+1
·
Publicado
2020-01-21
·
Atualizado
2022-04-18
·
CVE-2020-6857
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
CarbonFTP versão 1.4
Descrição
O problema diz respeito ao uso de um mecanismo proprietário e inseguro de criptografia de senhas no CarbonFTP. Especificamente, o software utiliza uma chave de criptografia fraca e codificada de forma rígida para as senhas do servidor FTP local, que está incorporada diretamente no arquivo binário. Isso representa um risco significativo para a segurança das senhas armazenadas pelo aplicativo.
Recomendações
Para o CarbonFTP versão 1.4, considere desativar o uso do mecanismo proprietário de criptografia de senhas até que uma alternativa segura seja implementada. Restrinja o acesso ao servidor FTP local para minimizar o risco de exploração. Evite usar a chave de criptografia codificada de forma rígida para qualquer armazenamento de dados confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Using Hardcoded Credentials
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Carbonftp