PT-2022-6127 · Apache+4 · Apache Commons Net+4
Zeddyu Lu
·
Publicado
2022-03-28
·
Atualizado
2025-12-16
·
CVE-2021-37533
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Commons Net anteriores à 3.9.0
Descrição
O problema está relacionado ao cliente FTP do Apache Commons Net, que, por padrão, confia no host fornecido na resposta PASV. Isso permite que um servidor malicioso redirecione o código do Commons Net para usar um host diferente, o que pode levar ao vazamento de informações sobre os serviços em execução na rede privada do cliente. O comportamento padrão foi alterado na versão 3.9.0 para ignorar tais hosts.
Recomendações
Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 ou posterior para alterar o comportamento padrão e ignorar os hosts das respostas PASV. Como solução temporária, considere configurar o cliente FTP para não confiar nos hosts das respostas PASV.
Correção
Open Redirect
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Commons Net
Astra Linux
Linuxmint
Red Os
Ubuntu