2024 年 6 月 5 日,SolarWinds 发布了一份针对 CVE-2024-28995 的公告,这是一个影响其文件传输解决方案 Serv-U 的高严重性漏洞。
据官方称,运行于 Windows 或 Linux 上的 Serv-U 以下版本受到影响:
-
Serv-U FTP Server 15.4
-
Serv-U Gateway 15.4
-
Serv-U MFT Server 15.4
根据官方文档,Serv-U 版本15.3.2及更早版本将于 2025 年 2 月终止使用,并且低于此版本的所有版本都已终止使用并且不再受支持,使用了所有默认安装选项都受到此漏洞影响。
当以 Linux 系统为目标读取任意文件时,如/etc/passwd路径分隔符必须是反斜杠 ( ),而不是正斜杠 ( /)。
已复现:
SolarWinds 已发布修补程序15.4.2 Hotfix 2来修复此问题。建议尽快应用此修补程序。
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):CVE-2024-2899Serv-U任意文件读取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论