【已复现】SolarWinds Serv-U FTP 目录遍历致文件读取漏洞（CVE-2024-28995）

文章预览

Serv-U 是 SolarWinds 公司推出的FTP服务器软件，提供文件传输服务，支持多种协议（FTP、FTPS、SFTP），具有用户管理、文件权限控制等功能，适用于企业级文件传输解决方案。 2024年6月，Serv-U 官方 SolarWinds 发布了新补丁，修复了一处目录遍历致文件读取漏洞（CVE-2024-28995）。经分析，该漏洞可以通过特定的路径请求来未授权访问系统文件，进而可能导致敏感信息泄露。该漏洞无前置条件且利用简单，建议受影响的客户尽快修复漏洞。 漏洞描述   Description   0 1 漏洞成因 Serv-U 的目录遍历漏洞（CVE-2024-28995）是由于在处理路径时缺乏适当的验证。攻击者可以通过传递包含 "../" 的路径段绕过路径验证，访问任意文件。 漏洞影响 该漏洞允许攻击者读取目标服务器上的任意文件，包括敏感配置和日志文件。漏洞的利用可能导致敏感数据泄露，甚至可能进一步 ………………………………