PT-2020-21478 · Ftpsrv · Ftp-Srv
Publicado
2020-09-04
·
Atualizado
2020-09-04
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
ftp-srv versões 1.0.0 a 4.3.3
Descrição
A vulnerabilidade permite que clientes remotos acessem outros recursos da rede, por exemplo, ao se conectarem ao servidor via telnet. Isso possibilita que invasores acessem quaisquer recursos de rede disponíveis para o servidor, incluindo recursos privados no ambiente de hospedagem.
Recomendações
Atualize para a versão ^2.19.6 ou posterior
Atualize para a versão ^3.1.2 ou posterior
Atualize para a versão ^4.3.4 ou posterior
Como solução alternativa temporária, considere colocar o comando FTP
PORT na lista negra para impedir que o servidor exponha esse comportamento por meio de conexões ativas até que uma correção seja aplicada. Isso pode ser feito configurando a instância ftp-srv com uma lista negra, por exemplo:const ftp = new FtpSrv({
blacklist: [‘PORT’]
});
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ftp-Srv