一、漏洞详情
Monsta FTP是一款基于浏览器的FTP/SFTP客户端。
近日,监测到一个存在于Monsta FTP的远程代码执行(RCE)漏洞。攻击者利用该漏洞可通过诱导受害者的Monsta FTP实例连接到恶意的SFTP服务器,下载攻击者控制的恶意文件,并将其写入目标服务器的任意路径。该漏洞的根本原因在于Monsta FTP在处理文件下载操作时,未能正确验证用户提供的文件路径。攻击者能够通过构造特制的HTTP请求,指定下载文件的路径并利用该漏洞在服务器上执行恶意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.10.3 <= Monsta FTP <= 2.11.2
三、修复建议
官方已发布修复补丁,以修复该漏洞。
Monsta FTP >= 2.11.3
