CVE-2025-24366

Nome do Software Vulnerável e Versões Afetadas Versões do SFTPGo anteriores à v2.6.5

Descrição O SFTPGo é uma solução de transferência de arquivos de código aberto e orientada a eventos que suporta a execução de um conjunto definido de comandos via SSH, incluindo o comando opcional rsync. Devido à ausência de sanitização do comando rsync fornecido pelo cliente, um usuário remoto autenticado pode usar algumas opções do comando rsync para ler ou escrever arquivos com as permissões do processo do servidor SFTPGo.

Recomendações Para versões anteriores à v2.6.5, atualize para a versão v2.6.5 ou posterior para corrigir o problema verificando os argumentos fornecidos pelo cliente. Como medida temporária de contorno, considere desativar o comando rsync até que uma correção esteja disponível. Restrinja o acesso ao comando rsync para minimizar o risco de exploração. Evite usar o comando rsync com entrada não confiável até que o problema seja resolvido.