CVE-2024-52309

Versões do SFTPGo anteriores à 2.6.3

O SFTPGo possui um recurso que permite ao EventManager executar scripts ou aplicativos em resposta a determinados eventos. No entanto, qualquer administrador do SFTPGo com permissão para executar um script tem acesso ao sistema operacional/contêiner subjacente com as mesmas permissões do usuário que está executando o SFTPGo. Isso é inesperado para alguns administradores do SFTPGo que acreditam haver uma distinção clara entre acessar o shell do sistema e acessar a interface do usuário do SFTPGo WebAdmin. A vulnerabilidade permite a potencial execução remota de código.

Para versões anteriores à 2.6.3, considere atualizar para a versão 2.6.3 ou posterior, na qual a execução de comandos do sistema está desativada por padrão e uma lista de permissões foi adicionada para definir quais comandos podem ser configurados a partir da interface do usuário do WebAdmin. Como solução alternativa temporária, restrinja o uso do EventManager apenas aos administradores do SFTPGo que também tenham acesso ao shell.