聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
文件传输软件 CompleteFTP 中存在一个漏洞,可导致未认证攻击者删除受影响安装程序上的任意文件。
CompleteFTP 由澳大利亚公司 EnterpriseDT 开发,它是适用于 Windows 系统的专有 FTP 和 SFTP 服务器,支持FTPS、SFTP和HTTPS。
昵称为 “rgod” 的安全研究员从 HttpFile 类中发现一个漏洞,是因为在将用户提供的路径用于文件操作前缺乏正确验证造成的。
安全公告指出,“该漏洞可导致远程攻击者删除 EnterpriseDT CompleteFTP服务器上受影响安装程序上的任意文件。攻击者可利用该漏洞删除系统上下文中的文件。”
该漏洞的编号为CVE-2022-2560,已在 CompleteFTP 版本22.1.1中修复。修复版本中包括其它安全增强功能,这些增强以RSA签名的SHA-2加密哈希函数的形式和 PuTTY 私钥的新格式体现。
目前 EnterpriseDT 尚未置评。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...