0x00 前言
CrushFTP是一款支持FTP,FTPS,SFTP,HTTP,HTTPS,WebDAV,WebDAV SSL等协议的跨平台FTP服务器软件。
同时提供一个WEB接口让用户可以使用浏览器来管理他们的文件。
0x01 漏洞描述
利用 AS2 标头解析逻辑来控制用户会话属性,使得能够读取和删除文件,从而可能控制系统或导致代码执行。
0x02 CVE编号
CVE-2023-43177
0x03 影响版本
CrushFTP 版本< 10.5.1
0x04 漏洞详情
https:
//convergetp.com/2023/11/16/crushftp-zero-day-cve-2023-43177-discovered/
0x05 参考链接
https://crushftp.com/download.html
原文始发于微信公众号(信安百科):CVE-2023-43177|CrushFTP 远程代码执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论