长亭科技专注于为企业提供网络安全解决方案。分享专业的网络安全知识,网络威胁情报。
今天看啥  ›  专栏  ›  长亭安全应急响应中心

【已复现】SolarWinds Serv-U FTP 目录遍历致文件读取漏洞(CVE-2024-28995)

长亭安全应急响应中心  · 公众号  ·  · 2024-06-14 17:09
    

文章预览

Serv-U 是 SolarWinds 公司推出的FTP服务器软件,提供文件传输服务,支持多种协议(FTP、FTPS、SFTP),具有用户管理、文件权限控制等功能,适用于企业级文件传输解决方案。 2024年6月,Serv-U 官方 SolarWinds 发布了新补丁,修复了一处目录遍历致文件读取漏洞(CVE-2024-28995)。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致敏感信息泄露。该漏洞无前置条件且利用简单,建议受影响的客户尽快修复漏洞。 漏洞描述   Description   0 1 漏洞成因 Serv-U 的目录遍历漏洞(CVE-2024-28995)是由于在处理路径时缺乏适当的验证。攻击者可以通过传递包含 "../" 的路径段绕过路径验证,访问任意文件。 漏洞影响 该漏洞允许攻击者读取目标服务器上的任意文件,包括敏感配置和日志文件。漏洞的利用可能导致敏感数据泄露,甚至可能进一步 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览